19-2-15. 第15章. 人的管理策
15-1. 人的管理策を参考とした対策基準・実施手順の策定
章の目的
第15章では、情報セキュリティ方針に従ってセキュリティ対策を実施するための具体的な規則としての「対策基準」と、セキュリティ対策の実施手順や方法である「実施手順」について理解することを目的とします。
主な達成目標
- 人的管理策をもとに、対策基準を策定する手順を理解すること。
- 策定した対策基準をもとに、具体的な実施手順を策定する方法を理解すること。
主なキーワード
人的管理策
要旨
15章の全体概要
対策基準を策定する際は、ISO/IEC 27001:2022附属書Aの合計93項目の管理策を参考にできます。管理策を参考に、対策基準・実施手順を策定する手順について解説しています。15章では「人的管理策」を参考に、対策基準を策定する手順について説明し、対策基準それぞれに対応する実施手順の例を説明しています。
15-1. 人的管理策を参考とした対策基準・実施手順の策定
-
対策基準の策定
ISO/IEC 27001:2022附属書Aの人的管理策(8項目)を参考に、対策基準を策定します。リスクアセスメントの内容をもとに必要な管理策を選択し、決定した管理策を対策基準とします。
対策基準の内容は、基本方針とともに公開可能なものとして作成します。ISMSに基づく管理策を用いて対策基準を策定する際は、ISO/IEC 27001:2022の文献を参照しながら作成してください。 -
実施手順の策定
管理策(対策基準)をもとに策定されたセキュリティ対策の実施手順の例を、それぞれ紹介しています。紹介する例と、ISO/IEC 27002に記載されている各管理策の手引きの内容を参考に、自社に適した実施手順を策定しましょう。
人的管理策の項目
- 6.1 選考
- 6.2 雇用条件
- 6.3 情報セキュリティの意識向上、教育及び訓練
- 6.4 懲戒手続き
- 6.5 雇用の終了または変更後の責任
- 6.6 秘密保持契約または守秘義務契約
- 6.7 リモートワーク
- 6.8 情報セキュリティ事象の報告
訴求ポイント
章を通した気づき・学び
ISO/IEC 27002の内容を参考に人的管理策の対策基準を決定し、実施手順を作成することが大切です。ドキュメントの作成・更新は大切ですが、本来の目標は、効果的な情報セキュリティ対策の計画と実行にあることを忘れないことが重要です。
認識していただきたい実施概要
- リスクアセスメントの結果をもとに必要な人的管理策を選択し、対策基準を策定すること。
- 対策基準は、基本方針とともに公開可能なものとして策定すること。
- 決定した対策基準をもとに、具体的に実践するための実施手順を策定すること。
- 実施手順は、組織の内部文書として従業員に対してわかりやすい実施手順を策定するよう心掛けること。
実践のために参考となる文献(参考文献)