東京都産業労働局 令和5年度中⼩企業サイバー
セキュリティ対策継続支援事業

文字サイズ

15-1-2. 実施手順の策定

管理策(対策基準)をもとに策定されたセキュリティ対策の実施手順の例を、それぞれ紹介します。紹介する例と、ISO/IEC 27002に記載されている各管理策の手引の内容を参考に、自社に適した実施手順を策定してください。

6.1 選考
実施手順(例)

従業者の募集・採用プロセスは以下の点を考慮のうえ行う。

  • a. 取得した履歴書、スキルシートなどから業務上の要求事項への適合を判断し、選考を行う。
  • b. 採用時の面接などにおける態度や言葉遣いなどから倫理観を判断し、選考を行う。
  • c. 役員や管理職の採用に関しては、過去の信用情報など、より詳細な調査を行う場合があるが、この際は本人の同意を得たうえで行う。

ワンポイントアドバイス

選考プロセスはフルタイム、パートタイム、臨時スタッフを含むすべての従業員に対して実行することが大切です。

6.2 雇用条件
実施手順(例)

情報セキュリティに関する責任を理解し、情報セキュリティ方針を守ることを従業員に誓約させるため、雇用契約書に、情報セキュリティに関する事項を盛り込み、誓約書に署名を求める。

ワンポイントアドバイス

従業員に、情報セキュリティに関する雇用条件を同意させることが大切です。

6.3 情報セキュリティの意識向上、教育及び訓練
実施手順(例)
  • a. すべての従業者は、職務に関連する方針および手順についての適切な、意識向上のための教育および訓練を受ける必要がある。
  • b. 当組織では従業者が次の事項に関して認識を持てるよう教育・訓練を実施する。
    • 情報セキュリティ方針
    • 情報セキュリティパフォーマンスの向上によって得られる便益を含む、情報セキュリティに対する自らの貢献
    • ISO/IEC 27001の要求事項に適合しないことの意味
  • c. 教育計画は情報セキュリティ委員会が作成し、トップマネジメント(経営層)が承認する。
  • d. 当組織の主な教育を以下に示す。(以下の教育は「教育実施記録」に残す。)
    • 新任部門管理者(運用委員)
      新任の情報セキュリティ委員会メンバーに実施する。
    • 入社時・社内異動者の教育(適時)
      新入社員、中間採用者に対して、入社時にセキュリティ教育を実施する。
    • 定期教育(「年間計画表」に基づく)
      年に最低1回、適用範囲内の従業者に対して、情報セキュリティの理解、再確認と改善、向上のための教育を実施する。
    • 再教育
      セキュリティ違反者および情報セキュリティに関する低理解度の従業者に対して、再教育を実施し、違反の再発防止に努める。
    • 実施した教育の有効性評価
      上記の教育実施後理解度調査などを実施し、実施した教育の有効性の評価を行う。

ワンポイントアドバイス

知識が伝わったこと、並びに意識向上、教育および訓練プログラムの有効性を確認するため、意識向上、教育および訓練の活動終了時に、従業員理解の評価を行うことが大切です。

6.4 懲戒手続
実施手順(例)

従業者が故意または過失により情報を漏えいした場合、または情報セキュリティ上の遵守事項に違反した場合は、罰則の対象とする。

ワンポイントアドバイス

懲戒手続は、関連する法令、規制、契約および事業上の要求事項、並びに必要に応じてその他の要素を考慮に入れることが大切です。

6.5 雇用の終了または変更後の責任
実施手順(例)

情報セキュリティの観点から、雇用の終了または変更後も従業員が守るべき義務や責任(たとえば守秘義務)について定め、雇用時の誓約書に盛り込むと同時に、雇用の終了または変更時に再確認する。

ワンポイントアドバイス

雇用の終了または変更を管理する手続では、終了または変更後にどの情報セキュリティの責任および義務を引き続き有効とすることが望ましいかを定義することが大切です。

6.6 秘密保持契約または守秘義務契約
実施手順(例)

  • a. 当組織の従業者は、当組織との間で機密情報に関する秘密保持の契約を締結する。なお、同契約には原契約の終了後も一定期間、秘密保持の義務が課せられる旨の条項を含める。
  • b. 当組織との委託先との間で、必要に応じて秘密保持の契約を締結する。
  • c. 情報セキュリティ委員会は、年に一度、情報セキュリティ要求事項に照らして、秘密保持の契約書の妥当性を検証する。

ワンポイントアドバイス

秘密保持契約または守秘義務契約に関する要求事項は、定期的または要求に影響する変化が発生した場合に、レビューすることが大切です。

6.7 リモートワーク
実施手順(例)

  • a. リモートワークは、情報セキュリティ委員長の承認を得たものに限って行える。
  • b. リモートワークにて使用するPCは、会社から貸与したPCとし、家族などの同居人と共有することは禁じる。
  • c. リモートワークにて使用するPCは、アンチウイルスソフトを導入し、「8.7 マルウェアに対する保護」に準じた設定を行う。
  • d. リモートワークにて使用するPCに、ファイル交換ソフトなどの不正なソフトウェアをインストールすることは禁じる。
  • e. 社内ネットワークへはVPNにて接続する。

ワンポイントアドバイス

リモートワークで個人所有のPCを使用する場合は、管理方法や接続方法について実施手順を記載することが大切です。

6.8 情報セキュリティ事象の報告
実施手順(例)

情報セキュリティ事象は、「5.25 情報セキュリティ事象の評価及び決定」に従って報告し、評価を行う。

ワンポイントアドバイス

すべての社員が情報セキュリティ事象を報告する連絡先を認識し、報告の仕組みはできるだけ簡単で使いやすく、いつでも利用できるようにすることが大切です。