メルマガコラム - 現場のセキュリティ対策 - TBCソリューションズ

tbcソリューションズ
tbcソリューションズの実績

最大50%OFFが可能!! 割引制度割引制度詳細    サポーター会員なら受講料がお得サポーター会員詳細

現場のセキュリティ対策

A.5 情報セキュリティのための方針群(1)

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
  力量(知識)と認識(自覚)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

 

情報セキュリティを確実な取組みにするためには、日常業務の現場を支える皆さんが、これらをしっかりと兼ね備えていることが最も重要なことです。というお話は以前にしましたが、やはり情報セキュリティを考えていくうえで、一番気になることは現場でのセキュリティ対策でしょう。今回から本連載の本題であります、管理目的及び管理策のお話を進めてまいります。

 

情報セキュリティ対策である管理策は、その特性により4つに分類して考えることができるといったお話を覚えていらっしゃいますでしょうか。今回からのお話は、この分類ごとに進めてまいります。

 

■管理策、4つの分類
 1.組織的対策
セキュリティ対策について従業者の責任と権限を明確に定め、規程や手順書を整備運用し、その実施状況を確認していくといった、組織及び取組みの体制に対して行う対策です。
【管理策】A.5 A.6 A.8 A.15 A.16 A.17 A.18

2.人的対策
従業者に対する、業務上秘密とされた情報の取扱いや管理についての誓約書の徴収、セキュリティに関する力量または認識についての教育・訓練等を行うといった、業務に従事する人に対して行う対策です。
【管理策】A.7

3.物理的対策
入退室の管理、情報等の盗難の防止等の措置といった、情報等を格納した装置や電子媒体等、これらを取り巻く作業環境に対して行う対策です。
【管理策】A.11

4.技術的対策
情報等を取扱う情報システムへのアクセス制御、不正ソフトウェア対策、情報システムの監視等、情報等に対する技術的な安全対策といった、装置や電子媒体、ネットワーク上等に保存された情報等に対して行う対策です。
【管理策】A.9 A.10 A.12 A.13 A.14

 

管理目的及び管理策のトップバッターは、『A.5 情報セキュリティのための方針群』です。ISO規格において方針と聞くと、よく事務所に掲示したり、ホームページに公表している方針をイメージされると思いますが、ここで言う「方針」は、これらとは違う「方針」を指しています。少々乱暴な言い方かもしれませんが、「方針≒ルール」とイメージすると良いと思います。附属書Aの管理策の見出しをみていくと、7つの方針が登場します。

 

 (1) A. 6.2.1 モバイル機器の方針

 (2) A. 9.1.1 アクセス制御方針

 (3) A.10.1.1 暗号による管理策の利用方針

 (4) A.11.2.9 クリアデスク・クリアスクリーン方針

 (5) A.13.2.1 情報転送の方針

 (6) A.14.2.1 セキュリティに配慮した開発のための方針

 (7) A.15.1.1 供給者関係のための情報セキュリティ方針

 

これらの「方針」をルールと読み替えてみてください。そうすると、この見出しを見るだけで、その管理策がイメージできませんか。(モバイル機器のルール、アクセス制御のルール、クリアデスクやクリアスクリーンのルール 等々)

それでは、『A.5 情報セキュリティのための方針群』には、どのような管理目的があり、そのためのどのような管理策があるのか、といったところは、次回お話をしてまいります。

 

今回はその前段のお話ということで、このあたりにします。

【無料】TBCSメールマガジン

「TBCソリューションズ メールマガジン【無料】」は最新の研修・セミナー情報や、コンサルタントによるISO規格の解説情報、コンサルタント コラムやお得なキャンペーン情報や割引制度などをお届けするメールサービスです。
登録したメールマガジンは、すべて【無料】でご覧いただけます。

【TBCSメールマガジン(無料)の登録】

お問い合せ先

お問い合せはこちら 03-5259-7181 電話での受付時間:平日9:00~18:00 お問い合せ

このページのトップへ