TOP情報セキュリティ> 情報セキュリティ実施手順書の作成と維持管理
CSR
企業の社会的責任に必要な情報セキュリティマネジメント

第5回:情報セキュリティ実施手順書の作成・維持管理手順
著者:みずほ情報総研   牛尾 浩平   2006/7/13
1   2  3  次のページ
情報セキュリティ実施手順書の作成と維持管理

   前回は「情報セキュリティポリシー」の作成・維持管理手順を説明した。情報セキュリティポリシーには具体的な対応手順が明確に記載されているわけではないため、情報セキュリティポリシーに従い情報セキュリティ対策として遵守すべき事項を、「情報セキュリティ実施手順書(以下、実施手順書という)」に定める必要がある(図1)。
情報セキュリティ管理に関連する文書の体系
図1:情報セキュリティ管理に関連する文書の体系(再掲)

   情報セキュリティの具体的な対応方法を知るために参照する必要な文書は実施手順書であるため、実施手順書の出来栄えが、組織の情報セキュリティ対策を適切に実施するための鍵を握る。

   なお、実施手順書は、「情報セキュリティポリシー」を構成する「基本ポリシー」「対策基準」とは違い、部署や業務の数が多い企業などでは、組織全体で1つとしてではなく複数整備することとなる。

   では、以降より実施手順書の作成と維持管理の手順を説明する。


1. 既存の情報セキュリティに関連する手続類の調査

   情報セキュリティに関連する手続類を調査し、何を対象(業務/従業者/拠点/システムなど)として、どのような種類の手続があるといった概要を把握する。


2. 実施手順書の整備体系の検討

   実施手順書と既存の関連する手続類との統合や、関連する手続類の改訂や廃止なども考慮にいれ、実施手順書の整備体系を検討する。

   情報セキュリティポリシーとは異なり、実施手順書の整備体系は組織によって大きな違いがあらわれる。

   実施手順書の整備体系を検討する際の切り口を表1に示す。

整備体系の切り口 補足説明 整備体系例
1. 従業員の役割に応じた手順 もっとも一般的な整備体系の切り口である。従業員の役割に応じた遵守すべき事項を整理し、記載する(関連する他の実施手順書などへのリンクも含む)。
  • 情報の利用者用の手順
  • システムの利用者用の手順
  • システムの管理者用の手順
  • 一般社員用の手順
  • 管理職社員用の手順
  • 非正社員用の手順など
2. 情報セキュリティマネジメントの推進のための手順 情報セキュリティマネジメントの推進にあたって必要な手順を、通常1種類ずつ整備する。情報セキュリティマネジメントの推進の実務を担う機能が中心となって作成する。
  • 情報セキュリティの教育の手順
  • 情報セキュリティの点検の手順
  • 情報セキュリティの監査の手順
  • 情報セキュリティ事件・事故時の対応の手順
    • システム障害時の対応
    • 不正アクセス発生時の対応
    • コンピュータウイルス感染時の対応
    • 情報漏洩事故発生時の対応
  • 外部委託の手順など
3. 拠点別の物理的管理の手順 拠点によって保有する情報資産の種類や重要度、建物や室の構造などに違いがあるため、入退室手順などの物理的管理方法を変える必要がある場合に整備を検討する。
  • 本社用の手順
  • 支社や営業所用の手順
  • システムセンター用の手順など
4. システム別の運用管理手順 組織がシステムを複数保有しており、その重要度、形態、設置場所、取り扱う情報などに違いがあるため、管理方法を変える必要がある場合に整備を検討する。
  • ホストシステムの運用管理手順
  • C/Sシステムの運用管理手順
  • 外部公開Webサーバの運用管理手順
  • ファイルサーバの運用管理手順など

表1:実施手順書の体系検討の切り口

1   2  3  次のページ


みずほ情報総研 牛尾 浩平氏
著者プロフィール
みずほ情報総研株式会社  システムコンサルティング部
コンサルタント   牛尾 浩平

2002年、東京大学大学院工学系研究科修了、富士総合研究所(現みずほ情報総研)に入社。次世代情報システム基盤に関するコンサルティング、ナレッジマネジメントパッケージソフト開発など様々なプロジェクトに参加した後、2003年より情報セキュリティ管理に関連するコンサルティング、監査、セキュリティポリシーの策定支援などの業務を主に実施。システム監査技術者。

INDEX
第5回:情報セキュリティ実施手順書の作成・維持管理手順
情報セキュリティ実施手順書の作成と維持管理
  3. 記述のルールの検討
  6. 従業員への周知