サイバーセキュリティーサービスの比較・資料請求サイト|中小企業向けのセキュリティ対策を考える「サイバーセキュリティ」に関する情報メディア。日本の中小企業の情報を守るため、最新のセミナー・人材育成・製品・中小企業向けのセキュリティ対策を考えるサイバーセキュリティ情報サイトです。

情報セキュリティのための「方針群」とは|付属書A管理目的及び管理策



今回から「適用宣言書」に加えることを検討すべき管理策の一覧、「附属書A管理目的及び管理策」の説明に入ります。

ある程度システム知識が必要な項目も含まれるため、システム担当者がいない組織などでは“コンサルタント任せ”になりがちなのですが、セキュリティレベルの維持には欠かせないものですので、しっかりと確認を行うようにしましょう。

また、ISMSの取得をせずとも、付属書A管理目的及び管理策自体がセキュリティ対策の良い参考となりますので、内容を理解することは大きなメリットと言えます。

情報セキュリティのための方針群

さて、最初にでてくるのが「情報セキュリティのための方針群」の項目です。実際ISMS審査で伺うと、この項目から誤解をしてしまっている組織が多く見受けられます。誤解とは「“情報セキュリティ基本方針”に則して、定期的にレビューを行っていれば良い」と判断してしまっているというものです。

項目名にあるよう、ここで定めなければならないものは「情報セキュリティ方針“群”」です。「情報セキュリティ基本方針」のみではなく、その他にも様々な方針が必要となるのです。

具体的な方針とは

例えば、「附属書A管理目的及び管理策」に記載の方針だけでも下記6方針が挙げられます。

  • モバイル機器の方針
  • アクセス制御方針
  • 暗号による管理策の利用方針
  • クリアデスク・クリアスクリーン方針
  • セキュリティに配慮した開発のための方針
  • 供給者関係のための情報セキュリティの方針

これら方針“群”を管理し、知る必要のある者へ通知し、レビューを行い、必要であれば改定していくことが求められます。

今後はSNS利用方針も必須

また、方針は「管理目的及び管理策」に記載のものだけとも限らないという点にも注意が必要です。

一例として、昨今では欠かせないSNSの利用方針が挙げられます。まず、組織の広報活動にfacebookやtwitter等を使っていればこの項目は必須です。不用意な書き込みは組織のブランドイメージを著しく損ないますから、どのような書き込みをしていくか、どのような書き込みは禁止するか、基本方針を定めておくべきでしょう。

組織として活用していない場合でも、従業員が個人のSNSで不適切な書き込みをすれば、すぐさまネット上で個人の特定が行われ、勤務先にまで問い合わせが殺到する事態となるでしょう。

電凸(電話をかけて組織としての意見を問いただす行為)により、業務に著しく支障を来すケースも多発しています。従業員に対する利用方針の提示または教育も必要と言えます。

まとめ

SNSの問題を始め、情報セキュリティを取り巻く環境は、日々変化しています。

これら全てに対応する為には、2013年に公開された「附属書A 管理目的及び管理策」に記載されている方針だけでは当然不足となってくるはずです。きちんと方針群を定める企業であれば、2016年からはは「マイナンバー取扱基本方針」も含まれていることでしょう。

この様に具体的な方針群を定め、定期的にレビューし、過不足がないか確認していく…これが、「付属書A 管理目的および管理策」の最初に上げられている項目の正しい解釈なのです。管理策は“情報セキュリティリスクを低減させるもの”です。この理解が間違っていると、セキュリティホールが残り、重大なインシデントにもつながりかねません。

次回は、情報セキュリティのための「内部組織」について解説します。





  • LINEで送る

書籍「情報漏洩対策のキホン」プレゼント


当サイトへの会員登録で、下記内容の書籍「情報漏洩対策のキホン」3000円相当PDFプレゼント
(実際にAmazonで売られている書籍のPDF版を無料プレゼント:中小企業向け大企業向け

下記は中小企業向けの目次になります。

  1. 1.はじめに

  2. 2.あなたの会社の情報が漏洩したら?

  3. 3.正しく恐れるべき脅威トップ5を事例付きで
    •  3-1.ランサムウェアによる被害
    •  3-2.標的型攻撃による機密情報の窃取
    •  3-3.テレワーク等のニューノーマルな働き方を狙った攻撃
    •  3-4.サプライチェーンの弱点を悪用した攻撃
    •  3-5.ビジネスメール詐欺による金銭被害
    •  3-6.内部不正による情報漏洩

  4. 4.情報漏洩事件・被害事例一覧

  5. 5.高度化するサイバー犯罪
    •  5-1.ランサムウェア✕標的型攻撃のあわせ技
    •  5-2.大人数で・じっくりと・大規模に攻める
    •  5-3.境界の曖昧化 内と外の概念が崩壊

  6. 6.中小企業がITセキュリティ対策としてできること
    •  6-1.経営層必読!まず行うべき組織的対策
    •  6-2.構想を具体化する技術的対策
    •  6-3.人的対策およびノウハウ・知的対策

  7. 7.サイバーセキュリティ知っ得用語集

無料でここまでわかります!
ぜひ下記より会員登録をして無料ダウンロードしてみてはいかがでしょうか?

無料会員登録はこちら

SNSでもご購読できます。