「ISMS規格をわかりやすく解読する」シリーズの11回目は、「A.6 情報セキュリティのための組織」について見ていきたいと思います。

※今回利用する「ISMS規格」とは、JIS Q 27001:2014を指します。
※用語の定義は、JIS Q 27000:2014によります。

A.6.1内部組織

この管理策の目的は、組織内で情報セキュリティの実施や運用を行い、統制するための管理の枠組みを作るためです。

職務の分離では、組織の資産が不正に変更されたり利用されたりすることを防ぐために、相反する職務や責任の範囲は、異なる人に分離させる必要があることを要求しています。

また、情報セキュリティについてなにか重大な事故が発生した時に備えて、どのような協会や団体、専門家に連絡を取り合って対処していくのかを明確にしておく必要があります。

A.6.2モバイル機器及びテレワーキング

ここでは、会社の業務やデータアクセスなどにモバイル機器を利用するとき、それらの機器にどのようなセキュリティ対策を行うかを明確にしておく必要が有ることを述べています。例えば、ログインパスワードを設定したり、ウイルス対策ソフトを導入したりするな、といったことなどです。

在宅勤務(テレワーキング)の場合も同様で、どのような対策を行うのか、私用のPCで作業しても良いのか、その場合はどのような対策を取るべきなのか、といったことを明確にする必要があります。

この辺りは、会社の職種や業務内容によって大きく変化するところですので、一概にこれといった明確な基準はありません。会社のスタイルに合った、適切な対応策を定めていくことが大切です。

ISMS規格をわかりやすく解読する【A.6 情報セキュリティのための組織】

Posted in 規格解説

「ISMS規格をわかりやすく解読する」シリーズの11回目は、「A.6 情報セキュリティのための組織」について見ていきたいと思います。

※今回利用する「ISMS規格」とは、JIS Q 27001:2014を指します。
※用語の定義は、JIS Q 27000:2014によります。

A.6.1内部組織

この管理策の目的は、組織内で情報セキュリティの実施や運用を行い、統制するための管理の枠組みを作るためです。

職務の分離では、組織の資産が不正に変更されたり利用されたりすることを防ぐために、相反する職務や責任の範囲は、異なる人に分離させる必要があることを要求しています。

また、情報セキュリティについてなにか重大な事故が発生した時に備えて、どのような協会や団体、専門家に連絡を取り合って対処していくのかを明確にしておく必要があります。

A.6.2モバイル機器及びテレワーキング

ここでは、会社の業務やデータアクセスなどにモバイル機器を利用するとき、それらの機器にどのようなセキュリティ対策を行うかを明確にしておく必要が有ることを述べています。例えば、ログインパスワードを設定したり、ウイルス対策ソフトを導入したりするな、といったことなどです。

在宅勤務(テレワーキング)の場合も同様で、どのような対策を行うのか、私用のPCで作業しても良いのか、その場合はどのような対策を取るべきなのか、といったことを明確にする必要があります。

この辺りは、会社の職種や業務内容によって大きく変化するところですので、一概にこれといった明確な基準はありません。会社のスタイルに合った、適切な対応策を定めていくことが大切です。

Author: LRM株式会社
  • はてなブックマークに追加
  • ツイートする
  • facebookでシェアする
  • LINEでシェアする