 |
||||||||||||||||
|
||||||||||||||||
| 前のページ 1 2 3 4 | ||||||||||||||||
|
||||||||||||||||
| システム・ネットワーク対策の概要 | ||||||||||||||||
|
情報セキュリティに関連するシステム・ネットワーク対策として、例として金融庁が公表している「金融分野における個人情報保護に関するガイドラインの安全管理措置等についての実務指針」の「技術的安全管理措置」の内容を元に、項目とその対策例を示す(表6)。  表6:金融分野における個人情報保護法のガイドラインの技術対策の例 (画像をクリックすると別ウィンドウに拡大図を表示します) 表6の項目は個人情報保護法上の「個人データ」に関連する対策を意味するが、より広い意味に捉え一般の「情報」に関連する対策として実施すべきである。なお、一般企業に広く用いられる経済産業省の「個人情報保護法に関する法律についての経済産業分野を対象とするガイドライン」は、金融分野におけるガイドラインと比べると要求事項のレベルは抑えられているが、要求事項の枠組みはほぼ同じである。 |
||||||||||||||||
| 教育(人的対策として) | ||||||||||||||||
|
情報セキュリティポリシーや実施手順書を策定し、各種対策を実施したとしても、その意義を正しく理解し、遵守されなければ、情報セキュリティマネジメントの効果を十分に享受することはできない。そのためには人的な対策が特に重要であり、体系立った教育・研修により組織内に広く啓蒙し、定期的に理解度・定着度を評価し、その結果を踏まえた改善活動を継続的に実施することが不可欠である。 情報セキュリティ対策の遵守は組織にとって重要な事項であり、各自がそれぞれの役割で実施していくことが重要である。そのためには表7の事項などを周知し理解してもらう必要がある。
表7:周知して理解してもらう事項の例 |
||||||||||||||||
| 監査と見直し | ||||||||||||||||
|
最後に、CheckフェーズとActフェーズとして、ここまで述べてきた各種情報セキュリティ対策の実施状況を確認し、問題が発見された場合は改善することにより、情報セキュリティレベルの維持あるいは向上に役立てるための監査と見直しを行う。 監査は、年に1回など定期的に実施、あるいはシステムの新規導入や更新、社会環境の変化(技術動向の変化、法令の変化など)、組織変更、システムの新規導入や更新などが発生した際に必要に応じて実施することが重要である。 監査の種類とその位置付けを表8に整理する。
表8:監査の種類 監査の結果を基に、情報セキュリティポリシーや実施手順書、情報セキュリティ対策の見直しと改善を行って、各組織のセキュリティレベルを維持・向上させていく。 次回以降は、情報セキュリティマネジメントに関して、テーマ別に詳細に説明する。 |
||||||||||||||||
|
前のページ 1 2 3 4 |
||||||||||||||||
|
|
||||||||||||||||
|
|
||||||||||||||||
|
||||||||||||||||
|
|
||||||||||||||||
|
||||||||||||||||
|
|
||||||||||||||||
|
||||||||||||||||
-
-
連載
