東京都産業労働局 令和5年度中⼩企業サイバー
セキュリティ対策継続支援事業

文字サイズ

15

人的管理策 15-1. 人的管理策を参考とした対策基準・実施手順の策定

章の目的

第15章では、情報セキュリティ方針に従ってセキュリティ対策を実施するための具体的な規則としての「対策基準」と、セキュリティ対策の実施手順や方法である「実施手順」について学ぶことを目的とします。

主な達成目標

  • 人的管理策をもとに、対策基準を策定する手順を理解すること。
  • 策定した対策基準をもとに、具体的な実施手順を策定する方法を理解すること。

15-1-1. 対策基準の策定

ISO/IEC 27001:2022附属書Aの合計93項目の管理策を参考に、対策基準を策定します。リスクアセスメントの内容をもとに必要な管理策を選択し、決定した管理策を対策基準とします。

ISO/IEC27001:2022に基づき管理策を決定する(例)

【凡例】採用:〇・不採用:✕

項目

採用、不採用

  • 6.1 選考
  • 6.2 雇用条件
  • 6.3 情報セキュリティの意識向上、教育及び訓練
  • 6.4 懲戒手続き
  • 6.5 雇用の終了または変更後の責任
  • 6.6 秘密保持契約または守秘義務契約
  • 6.7 リモートワーク
  • 6.8 情報セキュリティ事象の報告

対策基準の内容は、基本方針とともに公開可能なものとして作成します。ISMSに基づく管理策を用いて対策基準を策定する際は、ISO/IEC 27001:2022の文献を参照しながら作成してください。

対策基準(例)

6.1 選考

従業員や契約相手を選定する際、個人情報の保護や雇用に関する法令を考慮して経歴などを確認しなければならない。

6.2 雇用条件

雇用契約書には、情報セキュリティに関する要員および組織の責任を記載しなければならない。

6.3 情報セキュリティの意識向上、教育及び訓練

従業員に対し、情報セキュリティに関する教育および訓練を実施しなければならない。

6.4 懲戒手続

情報セキュリティ方針に違反した場合の懲戒手続を、正式に定めなければならない。

6.5 雇用の終了または変更後の責任

雇用の終了または変更の後も引き続き有効な情報セキュリティの責任や義務を、明確にしなければならない。

6.6 秘密保持契約または守秘義務契約

組織の要求事項を反映した秘密保持契約または守秘義務契約を従業員や外部の関係者と締結しなければならない。

6.7 リモートワーク

要員が遠隔で作業する場合は、セキュリティ対策を実施しなければならない。

6.8 情報セキュリティ事象の報告

情報セキュリティ事象を、適切な連絡経路を通して時機を失せずに報告できる仕組みを設けなければならない。

15-1-2の項では、策定した対策基準をもとに作成する実施手順について説明します。