2015年10月23日
はまぞう光 コンサル 浜松|内部不正防止についてVol.3
カテゴリー │コンサル
こんにちは、はまぞう光推進室です。
今回は「組織における内部不正防止ガイドライン」の内部不正を防ぐための管理のあり方について、 30項目とかなりのボリュームがありますのでを3回に分けてお伝えさせて頂きます。
内部不正を防ぐための管理のあり方
(1) 経営者の責任の明確化
①内部不正対策は経営者の責任であり、経営者は基本となる方針を組織内外に示す「基本方針」を策定し、役職員に周知徹底しなければならない。
②経営者は、「基本方針」に基づき対策の実施のためのリソースが確保されるよう、必要な決定、指示を行わなければならない。
(2) 総括責任者の任命と組織横断的な体制構築
①経営者が総括責任者の任命、並びに、管理体制及び実施策の承認を行い、経営者主導の取り組みであることを組織全体に示さなければならない。
②総括責任者は、基本方針に則り組織横断的な管理体制を構築しなければならない。また、実施策を策定しなければならない。
ただし、経営者が組織全体に目が届く組織であれば、自ら内部不正対策の実施にあたり、管理体制を必ずしも構築する必要はない。
(3) 情報の格付け区分
重要情報を把握して重要度に合わせて格付け区分し、その区分に応じて取り扱い可能な役職員の範囲(例:職位、職種等)を定めなければならない。
(4) 格付け区分の適用とラベル付け
①重要情報の取扱範囲を限定するために、重要情報の作成者が(3)で定めた格付け区分を選択し、その選択について重要情報の管理者に確認を得なければならない。
②また、重要情報を含む電子文書や電子データには、役職員に格付け区分が分かるように機密マーク等の表示をしなければならない。
(5) 情報システムにおける利用者のアクセス管理
①情報システムでは、(4)で定めた取扱範囲(例:職位、職種等)によって限定された利用者のみが重要情報にアクセスできるように、利用者ID 及びアクセス権の登録・変更・削除等の設定について手順を定めて運用しなければならない。
②また、異動又は退職により不要となった利用者ID 及びアクセス権は、ただちに削除しなければならない。
(6) システム管理者の権限管理
システム管理者が複数人いる場合は、システム管理者ID ごとに適切な権限範囲を割り当てシステム管理者が相互に監視できるようにしなければならない。
(7) 情報システムにおける利用者の識別と認証
情報システムでは、利用者(情報システムを利用する内部者)及びシステム管理者(情報システムを管理する内部者)の識別において、共有ID 及び共有のパスワード・ICカード等を使用せず、個々の利用者ID 又はシステム管理者ID を個別のパスワード・IC カード等で認証しなければならない。
(8) 物理的な保護と入退管理
許可された者以外の重要情報の格納場所や取り扱う領域等への侵入等を物理的に保護する境界を定めて、重要情報や情報システムを壁や入退管理策によって保護しなければならない。
(9) 情報機器及び記録媒体の資産管理及び物理的な保護
①PC 等の情報機器及び携帯可能な外部記録媒体27は、盗難や紛失等がないように管理・保護しなければならない。②また、不要になった情報機器や記録媒体を処分する際には重要情報が完全消去されていることを確認しなければならない。
(10) 情報機器及び記録媒体の持出管理
持ち出し可能なノートPC及びスマートデバイス等のモバイル機器並びに携帯可能なUSB メモリ及びCD-R 等の記録媒体を(8)の物理的に保護された場所から外に持ち出す場合、持ち出しの承認及び記録等の管理をしなければならない。
ガイドラインではさらに「どのようなリスクがあるのか?」「対策のポイント」を説明していますので、ご覧になられたい方は以下よりご覧ください。
組織における内部不正防止ガイドライン
http://www.ipa.go.jp/security/fy24/reports/insider/index.html
独立行政法人情報処理推進機構
http://www.ipa.go.jp/
弊社では 「情報セキュリティ対策支援」サービスを行っております。
お問合せはこちらから
株式会社シーポイント ネットワークソリューション事業部
今回は「組織における内部不正防止ガイドライン」の内部不正を防ぐための管理のあり方について、 30項目とかなりのボリュームがありますのでを3回に分けてお伝えさせて頂きます。
内部不正を防ぐための管理のあり方
(1) 経営者の責任の明確化
①内部不正対策は経営者の責任であり、経営者は基本となる方針を組織内外に示す「基本方針」を策定し、役職員に周知徹底しなければならない。
②経営者は、「基本方針」に基づき対策の実施のためのリソースが確保されるよう、必要な決定、指示を行わなければならない。
(2) 総括責任者の任命と組織横断的な体制構築
①経営者が総括責任者の任命、並びに、管理体制及び実施策の承認を行い、経営者主導の取り組みであることを組織全体に示さなければならない。
②総括責任者は、基本方針に則り組織横断的な管理体制を構築しなければならない。また、実施策を策定しなければならない。
ただし、経営者が組織全体に目が届く組織であれば、自ら内部不正対策の実施にあたり、管理体制を必ずしも構築する必要はない。
(3) 情報の格付け区分
重要情報を把握して重要度に合わせて格付け区分し、その区分に応じて取り扱い可能な役職員の範囲(例:職位、職種等)を定めなければならない。
(4) 格付け区分の適用とラベル付け
①重要情報の取扱範囲を限定するために、重要情報の作成者が(3)で定めた格付け区分を選択し、その選択について重要情報の管理者に確認を得なければならない。
②また、重要情報を含む電子文書や電子データには、役職員に格付け区分が分かるように機密マーク等の表示をしなければならない。
(5) 情報システムにおける利用者のアクセス管理
①情報システムでは、(4)で定めた取扱範囲(例:職位、職種等)によって限定された利用者のみが重要情報にアクセスできるように、利用者ID 及びアクセス権の登録・変更・削除等の設定について手順を定めて運用しなければならない。
②また、異動又は退職により不要となった利用者ID 及びアクセス権は、ただちに削除しなければならない。
(6) システム管理者の権限管理
システム管理者が複数人いる場合は、システム管理者ID ごとに適切な権限範囲を割り当てシステム管理者が相互に監視できるようにしなければならない。
(7) 情報システムにおける利用者の識別と認証
情報システムでは、利用者(情報システムを利用する内部者)及びシステム管理者(情報システムを管理する内部者)の識別において、共有ID 及び共有のパスワード・ICカード等を使用せず、個々の利用者ID 又はシステム管理者ID を個別のパスワード・IC カード等で認証しなければならない。
(8) 物理的な保護と入退管理
許可された者以外の重要情報の格納場所や取り扱う領域等への侵入等を物理的に保護する境界を定めて、重要情報や情報システムを壁や入退管理策によって保護しなければならない。
(9) 情報機器及び記録媒体の資産管理及び物理的な保護
①PC 等の情報機器及び携帯可能な外部記録媒体27は、盗難や紛失等がないように管理・保護しなければならない。②また、不要になった情報機器や記録媒体を処分する際には重要情報が完全消去されていることを確認しなければならない。
(10) 情報機器及び記録媒体の持出管理
持ち出し可能なノートPC及びスマートデバイス等のモバイル機器並びに携帯可能なUSB メモリ及びCD-R 等の記録媒体を(8)の物理的に保護された場所から外に持ち出す場合、持ち出しの承認及び記録等の管理をしなければならない。
ガイドラインではさらに「どのようなリスクがあるのか?」「対策のポイント」を説明していますので、ご覧になられたい方は以下よりご覧ください。
組織における内部不正防止ガイドライン
http://www.ipa.go.jp/security/fy24/reports/insider/index.html
独立行政法人情報処理推進機構
http://www.ipa.go.jp/
弊社では 「情報セキュリティ対策支援」サービスを行っております。
お問合せはこちらから
株式会社シーポイント ネットワークソリューション事業部
