人的セキュリティ

/ .trash / Comment[0]
人的セキュリティに関するISMSの要求事項
 ・セキュリティの役割及び責任を情報セキュリティ基本方針にしたがって定義し、文書化すること
 ・雇用契約書に情報セキュリティに対する責任を記載し、同意・署名を得ること
 ・従業員等のセキュリティ意識を高め、情報セキュリティポリシを尊守させるため、定期的に教育すること
 ・セキュリティ違反行為に対する正式な懲戒手続を備えること
 ・従業員等の雇用・契約終了時には所持する組織の資産を全て返却させるとともに、情報資産へのアクセス権を削除する

人的セキュリティ対策として実施すべき事項
 ・社員の責務の明確化
   -社内で知り得た情報を外部に漏らさないように明記
   -情報セキュリティポリシにしたがって業務を遂行する責務があることを就業規則などに明記
   -情報セキュリティポリシに違反した場合には罰則が適用されることをポリシに明記
 ・体制面の対策
   -特定社員に権限が集中しないよう職務を分離する
   -重要な作業などについては複数人で確認する体制にする
   -業務のバックアップ体制を整備する
   -業務内容を相互チェックする
 ・作業環境の整備、健康、メンタル面のケア
   -ミスなどを防止するため作業環境を改善し、社員のストレス,不満などをケアする体制や仕組みを整備する
 ・教育,訓練の計画及び実施
   -情報セキュリティに関する教育,訓練の実施計画を立案する
   -社員の職務や役割などに応じた効果的な教育カリキュラムを立案する
   -新規雇用、配属、契約、職責の変更などに応じた教育カリキュラムを立案する
   -情報セキュリティ教育体制を整備し、計画的に定期的・継続的に教育を実施する
   -教育,訓練の記録を残すとともに、効果を分析する
   -教育,訓練の効果分析結果を評価し教育実施計画やカリキュラムを見直す

 ・委託先の管理
  -業務に応じて、条託先の情報セキュリティに関する能力,資格などを審査する
  -条託先との契約に当たっては秘密保持に関する事項を盛り込み、問題発生時の責任範囲,対処方法などを明確にする
  -条託先の情報管理,セキュリティ対策実施状況などを定期的にチェック



まとめ

 人的資源のセキュリティに関するISMSの管理策

  ・情報セキュリティ基本方針にしたがって役割,責任を定義する
  ・雇用契約書に情報セキュリティに対する責任を記載し、同意,署名を得る
  ・従業員のセキュリティ意識を高め、情報セキュリティポリシを尊守させるため、定期的に教育する
  ・違反者に対する正式な懲戒手続きを備える
  ・契約終了後には所持する組織の資源を全て返却させるとともに、情報資産へのアクセス権を削除する

 内部犯罪を防ぐ上で有効な人的セキュリティ対策
  ・情報セキュリティポリシに違反したものは罰則が適用されることを明記
  ・権限が集中し内容に職務を分離
  ・重要な作業は複数人で確認
  ・業務内容を相互チェック
  
関連記事

コメント

:
:
:
:
:
管理人のみ表示を許可