JIS Q 27001:2014の管理策について-3
今回は、「6 情報セキュリティのための組織」から「6.1 内部組織」についてです。
【今回の要点】
・ ご家庭や個人事業主の場合、すべての責任をご自身が追わなければならないので、保険等によるリスク転嫁も考慮する必要がある
・ ご家庭や個人事業主の場合、職務の分離が困難なため、外部に委託してモニタリングや外部監査を受ける等の対策を考慮する必要がある
・ 警察、個人情報保護委員会等への連絡先を明確にしておく 必要がある
6 情報セキュリティのための組織
6.1 内部組織
目的:組織内で情報セキュリティの実施及び運用に着手し、これを統制するための管理上の枠組みを確立するため。
「組織」は、ご家庭や個人一人の場合は「自分自身」と考えて下さい。
ここでは、情報資産を守るための管理上の枠組みを確立することが目的となります。
6.1.1 全ての情報セキュリティの責任を定め、割り当てる。
「すべての情報セキュリティ」とは、「5 情報セキュリティのための方針群」で策定した情報セキュリティ方針のすべての項目ということです。
例えば方針で次のような項目を定めた場合、それぞれに責任を割り当てることです。
- 事業戦略によって生じる要求事項
- 規制、法令及び契約によって生じる要求事項
- 現在の及び予想される情報セキュリティの脅威環境によって生じる要求事項
- 情報セキュリティの定義、目的及び原則
ご家庭や個人事業主の場合、すべての責任をご自身が追わなければなりません。
取り扱う情報量が多く、セキュリティ事故が発生した場合の損害が大きい場合などは、保険等によるリスク転嫁も考慮する必要があります。
6.1.2 相反する職務及び責任範囲は、組織の資産に対する、認可されていない若しくは意図しない変更又は不正使用の危険性を低減するために、分離する。
ここでは、相反する職務や責任範囲を分離すること(自分で起案して自分が承認するようなことを避ける)ですが、ご家庭や個人事業主の場合、職務の分離が困難です。
他の管理策として、外部に委託してモニタリングや外部監査を受ける等の対策を考慮する必要があります。
6.1.3 関係当局との適切な連絡体制を維持する。
6.1.4 情報セキュリティに関する研究会又は会議、及び情報セキュリティの専門家による協会・団体との適切な連絡体制を維持する。
ここでは、法の執行機関、規制当局、監督官庁などへの連絡手順を備えることが必要となります。
犯罪が疑われる場合は最寄りの警察、個人情報の漏洩の場合は以下の個人情報保護委員会Webサイトを参考にして下さい。
https://www.ppc.go.jp/personalinfo/legal/leakAction/
6.1.5 プロジェクトの種類にかかわらず、プロジェクトマネジメントにおいては、情報セキュリティ に取り組む。
ここでは、すべての組織が情報セキュリティ対策に取り組むことです。
ご家庭や個人事業主の場合は組織=ご自身なので問題ありません。
【今回のまとめ】
・ ご家庭や個人事業主の場合、すべての責任をご自身が追わなければならないので、保険等によるリスク転嫁も考慮する必要がある
・ ご家庭や個人事業主の場合、職務の分離が困難なため、外部に委託してモニタリングや外部監査を受ける等の対策を考慮する必要がある
・ 警察、個人情報保護委員会等への連絡先を明確にしておく 必要がある
次回は「6.2 モバイル機器及びテレワーキング」の予定です
