情報処理安全確保支援士 オンライン講習Aを受けた備忘録(6)
内容:情報処理安全確保支援士 オンライン講習A
日時:2020年5月
情報セキュリティ従事者としての倫理的責任と義務~【後編】
日時:2020年5月
情報セキュリティ従事者としての倫理的責任と義務~【後編】
- 目標 情報セキュリティ従事者として適切な行動を理解し、遵守できるようになる
1章 インシデントから学ぶということ
- 倫理的問題を解決する手法
- 二分法:対照的な二つの選択肢の中から一方を選ぶことで問題を解決する方法
- 線引き問題:段階的な複数の選択肢が与えられたとき、どこまでを許容できるか選ぶ問題
- 相反問題:一方の選択肢を選ぶと、もう一方に悪い影響を与える問題
- 7 Step Guide:倫理的判断を行うためのボトムアップ型の方法
- IPA「組織における内部不正防止ガイドライン」
2章 守秘義務のインシデント
- 契約・覚書に違反した場合の罰則、漏洩により発生した損害の賠償に関する事項がふくまれている事業者は5割前後
- 登録セキスペとして求められる対応
- 監督責任者として求められる対応
- 「組織における内部不正防止ガイドライン」
- 「委託関係における情報セキュリティ対策ガイドライン」
- 「中小企業の情報セキュリティ対策ガイドライン第3版」
- システム監査等の監査人に求められる対応
3章 誠実義務のインシデント
- 業務中の私用メール
- 登録セキスペとして求められる対応
- 社内規定の策定、メール等を監査、発見した場合の監督責任への指導依頼、私物のケイタイ持ち込み(BYOD)の条件整理
- 「情報漏えい対策のしおり」
- 「スマートフォン等の業務利用における情報セキュリティ対策の実施手順策定手引書」
- 監督責任者として求められる対応
- 私用メールを定期的にチェック、部下の指導、教育・啓発実施、BUOD利用申請の承認、運用の管理
- 「中小企業の情報セキュリティ対策ガイドライン」
- 「スマートフォン等の業務利用における情報セキュリティ対策の実施手順策定手引書」
- システム監査等の監査人として求められる対応
- 定期的な監査の実施、個人情報取扱事業者における従業者の監督
4章 注意義務のインシデント
- プラグインによる情報漏えい
- 会社として認められていないツールの導入は行わない
- 「企業における最低限の情報セキュリティ対策のしおり+1」
- ツールを導入する際は、利用規約等を確認する
- スマートフォンのアプリ等の場合、アクセスする機能について確認する
- 「スマートフォンのセキュリティ<危険回避>対策のしおり」
- 登録セキスペとして求められる対応
- リスクを認識していて、それを伝えない場合や過少評価した場合も善管注意義務違反の責任を負う
- 「技術メモ - 安全なWebブラウザの使い方」
- 「ウェブブラウザのプロテクションプロファイル」
- 監督責任者として求められる対応
- 従業員が不要なソフトウェアをインストールしていないか定期的にチェックを実施
- 部下への指導、教育・啓発の実施
- システム監査等の監査人として求められる対応
- 定期的な監査の実施
まとめ
- 経営課題への対応
- 情報持ち出し等について、セキュリティポリシー定め、運用状況の監査を行う
- 採用時に契約書等を提出させる
- セキュリティに関する教育機会を提供する
- システム等の設計・開発
- 不正な持ち出しができないよう、アクセス権限等の設定を行う
- 不正な持ち出しが行われた場合にも、確認できるような仕組みを構築する
- 運用・保守
- ポリシーに従い運用し、不正が発生していないかログの監視等を行う
- セキュリティや倫理の重要性について、教育・啓発を行う
- 緊急対応
- セキュリティインシデントに備え、機密情報の保管状況等を定期的に確認する
- インシデントが発生した場合、全体統制を行い、その影響範囲等を確認する
コメント
コメントを投稿