No.234　ISO情報セキュリティマネジメントシステムその5

ITコラム
2017年11月27日

ISO 飛鳥　石橋一史によるITコラム
～帝国ニュースに掲載されたものを紹介していきます～

情報管理の具体策を求めるISMS付属書A、今週は7項:人的資源の情報管理。

まず、情報の漏洩問題は外部と内部のどちらに原因があるか！ JNSA（日本ネットワークセキュリティ協会）の2016年度統計では8割近くが内部に原因があると出ている。

すなわち、技術的、物理的な対策を講じても「人」が介在するリスクが大きいということだ。そこで必要となるのが「従業員に対する情報の管理策」である。これには「雇用前・雇用期間中・雇用の終了」の三つに区分される。

・雇用前：従業員候補を選考し、雇用する際の「契約書」には情報管理に関する責任・罰則等を明記し、周知させ認識を促す。

・雇用期間中：従業員には定期的に情報管理の教育指導を実施し、社内ルールを順守させるとともに、違反を犯した従業員への懲戒手続きを備えておく。

・雇用の終了：雇用終了後も情報管理に関する責任と守秘義務がある事をしっかりと伝えるために、「雇用契約書」にその旨を織り込み、充分認識させる。

一般的に、雇用契約書には情報に関する「機密保持」の項が存在しているが、筆者がさまざまな組織を審査した中で、これらの認識が充分浸透していない状況が見受けられる。

また、雇用期間終了後の守秘義務についての認識を高める施策も特に重要だ。従って、情報管理に関する定期的な勉強会が必要となる。次回は情報資産の管理…

合同会社ASCA Auditors Society for Conformity Assessment