27-16. 第16章. 人的対策
16-1. 作成する候補となる実施手順書類について
16-2. 人的対策として重要となる実施項目
章の目的
第16章では、情報セキュリティ方針に従ってセキュリティ対策を実施するための具体的な規則としての「対策基準」と、セキュリティ対策の実施手順や方法である「実施手順」について学ぶことを目的とします。
主な達成目標
・ 人的管理策をもとに、対策基準を策定する手順を理解すること。
・ 策定した対策基準をもとに、具体的な実施手順を策定する方法を理解すること。
要旨
16章の全体概要
16章では、情報セキュリティ方針に従い、人的対策を中心にセキュリティ対策基準を策定するための方法について説明しています。まず、リスクアセスメントの結果をもとに適切な管理策を選定し、それを実施手順として組織の内部文書にまとめます。この際、ISO/IEC 27001の規定に基づいて選定するだけでなく、独自の追加管理策も含めることが推奨されます。具体的な項目としては、雇用契約、守秘義務、リモートワーク手順、懲戒手続などが含まれ、従業員の行動指針として重要な役割を果たします。
16-1. 作成する候補となる実施手順書類について
ISO/IEC 27001:2022の附属書Aに示された93項目の管理策を参考に、情報セキュリティにおける実施手順書を策定する方法が説明しています。実施手順書は、リスクアセスメントをもとに選定された管理策を対策基準として採用し、具体的な手順を文書化するための候補を提示します。これにより、組織が適切な管理策を選定し、それをもとに対策基準と具体的な実施手順を策定することが可能になります。
16-2. 人的対策として重要となる実施項目
組織における人的管理策の重要実施項目として、従業員の採用から退職後までのセキュリティ対策を紹介しています。具体的には、情報セキュリティの観点から従業員の選考、雇用契約の内容、セキュリティ教育、守秘義務の遵守などの具体的な項目を取り上げています。懲戒手続や雇用終了後のセキュリティ対策の責任、リモートワーク実施時のセキュリティや情報セキュリティイベントの報告手順に関しても指針を示しています。
組織的管理策の項目
6.1 選考
6.2 雇用条件
6.3 情報セキュリティの意識向上、教育及び訓練
6.4 懲戒手続
6.5 雇用の終了又は変更後の責任
6.6 秘密保持契約又は守秘義務契約
6.7 リモートワーク
6.8 情報セキュリティ事象の報告
訴求ポイント
章を通した気づき・学び
ISO/IEC 27002の内容を参考にしつつ、雇用契約、守秘義務、リモートワーク手順、懲戒手続など自社に適した管理策を追加して、人的管理策の対策基準を決定し、実施手順を作成することが大切です。
認識していただきたい実施概要
• リスクアセスメントの結果をもとに必要な人的管理策を選択し、対策基準を策定すること。
• 対策基準は、基本方針とともに公開可能なものとして策定すること。
• 決定した対策基準を実行に移すための実施手順を策定すること。
• 実施手順は、組織の内部文書として従業員に対してわかりやすい実施手順を策定するよう心掛けること。
