2015年10月27日
はまぞう光 コンサル 浜松|内部不正防止についてVol.4
カテゴリー │コンサル
こんにちは、はまぞう光推進室です。
今回は「組織における内部不正防止ガイドライン」の内部不正を防ぐための管理のあり方について、30項目の説明第二弾です。
内部不正を防ぐための管理のあり方
(11) 個人の情報機器及び記録媒体の業務利用及び持込の制限
個人のノートPC やスマートデバイス等のモバイル機器及び携帯可能なUSB メモリ等の外部記録媒体の業務利用及び持込を適切に制限しなければならない。
(12) ネットワーク利用のための安全管理
組織のネットワーク利用では、PC 等の情報機器から重要情報が漏えいしないように、ファイル共有ソフト及びソーシャル・ネットワーク・サービス(SNS)、外部のオンラインストレージ等の使用を制限して安全なネットワーク環境を整えなければならない。
(13) 重要情報の受渡し保護
①委託先等の関係者への重要情報の受渡しでは、受渡しから廃棄までが適切に管理されていなければならない。
②インターネットを用いた送信や組織外を介する記録媒体等を用いた重要情報の受渡しでは、誤って重要情報が関係者以外に渡ってしまうことも考慮して暗号化等で重要情報を保護しなければならない。
(14) 情報機器や記録媒体の持ち出しの保護
ノートPC 及びスマートフォン等のモバイル機器並びにUSB メモリ及びCD-R 等の携帯可能な記録媒体に重要情報を格納して(8)の物理的に保護された場所の外に持ち出す場合に、技術的な対策によって重要情報が適切に保護されていなければならない。
(15) 組織外部での業務における重要情報の保護
(8)の物理的に保護された場所の外で重要情報を用いて業務を行う際に、周囲の環境やネットワーク環境等を考慮し、適切に重要情報を保護しなければならない。
(16) 業務委託時の確認(第三者が提供するサービス利用時を含む)
委託する業務内容と重要情報の重要度に応じて、セキュリティ対策を事前に確認・合意してから契約し、委託先が契約通りに情報セキュリティ対策を実施しているか定期的及び不定期に確認しなければならない。
(17) 情報システムにおけるログ・証跡37の記録と保存
内部不正の早期発見及び(27)の事後対策の影響範囲の観点から、重要情報へのアクセス履歴及び利用者の操作履歴等のログ・証跡を記録し、定めた期間に安全に保存することが望ましい。
(18) システム管理者のログ・証跡の確認
システム管理者のアクセス履歴や操作履歴等のログ・証跡を記録して保存し、(17)で述べたログ・証跡とともに、システム管理者のログ・証跡の内容を定期的にシステム管理者以外が確認しなければならない。
(19) 教育による内部不正対策の周知徹底
①すべての役職員に教育を実施し、組織の内部不正対策に関する方針及び重要情報の取り扱い等の手順を周知徹底させなければならない。
②教育は繰り返して実施することが望ましい。また、教育内容を定期的に見直して更新し、更新内容を内部者に周知徹底させなければならない。
(20) 雇用終了の際の人事手続き
雇用終了により、退職後の元役職員による重要情報の漏えい等の不正行為が発生しないように、必要に応じて秘密保持義務を課す誓約書の提出を求めなければならない。
ガイドラインではさらに「どのようなリスクがあるのか?」「対策のポイント」を説明していますので、ご覧になられたい方は以下よりご覧ください。
組織における内部不正防止ガイドライン
http://www.ipa.go.jp/security/fy24/reports/insider/index.html
独立行政法人情報処理推進機構
http://www.ipa.go.jp/
弊社では 「情報セキュリティ対策支援」サービスを行っております。
お問合せはこちらから
株式会社シーポイント ネットワークソリューション事業部
今回は「組織における内部不正防止ガイドライン」の内部不正を防ぐための管理のあり方について、30項目の説明第二弾です。
内部不正を防ぐための管理のあり方
(11) 個人の情報機器及び記録媒体の業務利用及び持込の制限
個人のノートPC やスマートデバイス等のモバイル機器及び携帯可能なUSB メモリ等の外部記録媒体の業務利用及び持込を適切に制限しなければならない。
(12) ネットワーク利用のための安全管理
組織のネットワーク利用では、PC 等の情報機器から重要情報が漏えいしないように、ファイル共有ソフト及びソーシャル・ネットワーク・サービス(SNS)、外部のオンラインストレージ等の使用を制限して安全なネットワーク環境を整えなければならない。
(13) 重要情報の受渡し保護
①委託先等の関係者への重要情報の受渡しでは、受渡しから廃棄までが適切に管理されていなければならない。
②インターネットを用いた送信や組織外を介する記録媒体等を用いた重要情報の受渡しでは、誤って重要情報が関係者以外に渡ってしまうことも考慮して暗号化等で重要情報を保護しなければならない。
(14) 情報機器や記録媒体の持ち出しの保護
ノートPC 及びスマートフォン等のモバイル機器並びにUSB メモリ及びCD-R 等の携帯可能な記録媒体に重要情報を格納して(8)の物理的に保護された場所の外に持ち出す場合に、技術的な対策によって重要情報が適切に保護されていなければならない。
(15) 組織外部での業務における重要情報の保護
(8)の物理的に保護された場所の外で重要情報を用いて業務を行う際に、周囲の環境やネットワーク環境等を考慮し、適切に重要情報を保護しなければならない。
(16) 業務委託時の確認(第三者が提供するサービス利用時を含む)
委託する業務内容と重要情報の重要度に応じて、セキュリティ対策を事前に確認・合意してから契約し、委託先が契約通りに情報セキュリティ対策を実施しているか定期的及び不定期に確認しなければならない。
(17) 情報システムにおけるログ・証跡37の記録と保存
内部不正の早期発見及び(27)の事後対策の影響範囲の観点から、重要情報へのアクセス履歴及び利用者の操作履歴等のログ・証跡を記録し、定めた期間に安全に保存することが望ましい。
(18) システム管理者のログ・証跡の確認
システム管理者のアクセス履歴や操作履歴等のログ・証跡を記録して保存し、(17)で述べたログ・証跡とともに、システム管理者のログ・証跡の内容を定期的にシステム管理者以外が確認しなければならない。
(19) 教育による内部不正対策の周知徹底
①すべての役職員に教育を実施し、組織の内部不正対策に関する方針及び重要情報の取り扱い等の手順を周知徹底させなければならない。
②教育は繰り返して実施することが望ましい。また、教育内容を定期的に見直して更新し、更新内容を内部者に周知徹底させなければならない。
(20) 雇用終了の際の人事手続き
雇用終了により、退職後の元役職員による重要情報の漏えい等の不正行為が発生しないように、必要に応じて秘密保持義務を課す誓約書の提出を求めなければならない。
ガイドラインではさらに「どのようなリスクがあるのか?」「対策のポイント」を説明していますので、ご覧になられたい方は以下よりご覧ください。
組織における内部不正防止ガイドライン
http://www.ipa.go.jp/security/fy24/reports/insider/index.html
独立行政法人情報処理推進機構
http://www.ipa.go.jp/
弊社では 「情報セキュリティ対策支援」サービスを行っております。
お問合せはこちらから
株式会社シーポイント ネットワークソリューション事業部
