中小企業の情報セキュリティ対策ガイドライン付録 8 情報資産管理台帳 (Ver.1.4) 業務分類情報資産名称備考利用者範囲管理部署個人情報個人情報の種類要配慮個人情報マイナンバー機密性評価値完全性可用性重要度保存期限登録日脅威の発生頻度 ( 脅威の状況シートで設定

Size: px

Start display at page:

Download "中小企業の情報セキュリティ対策ガイドライン付録 8 情報資産管理台帳 (Ver.1.4) 業務分類情報資産名称備考利用者範囲管理部署個人情報個人情報の種類要配慮個人情報マイナンバー機密性評価値完全性可用性重要度保存期限登録日脅威の発生頻度 ( 脅威の状況シートで設定"

みいかみょうだに
5 years ago
Views:

1 情報資産管理台帳業務分類中小企業の情報セキュリティ対策ガイドライン付録 8 情報資産管理台帳 (Ver.1.4) 個人情報個人情報の種類要配慮個人情報マイナンバー機密性完全性可用性脅威の発生頻度 ( 脅威の状況シートで設定 ) 人事社員名簿社員基本情報人事部人事部事務所 PC 有 /7/1 3: 通常の状態で発生する ( いつ発生してもおかしくない ) 人事社員名簿社員基本情報人事部人事部書類有 /7/1 2: 特定の状況で発生する ( 年に数回程度 ) 人事健康診断の結果雇入時定期健康診断人事部人事部書類有年 2016/7/1 2: 特定の状況で発生する ( 年に数回程度 ) 経理経理経理給与システムデータ当社宛請求書発行済請求書控共通電子メールデータ税務署提出用源泉徴収票当社宛請求書の原本 ( 過去 3 年分 ) 当社発行の請求書の控え ( 過去 3 年分 ) 重要度は混在のため最高値で評価給与計算担当人事部事務所 PC 有年 2016/7/1 3: 通常の状態で発生する ( いつ発生してもおかしくない ) 総務部総務部書類 /7/1 2: 特定の状況で発生する ( 年に数回程度 ) 総務部総務部書類 /7/1 2: 特定の状況で発生する ( 年に数回程度 ) 担当者総務部事務所 PC 有 /7/1 3: 通常の状態で発生する ( いつ発生してもおかしくない ) 共通電子メールデータ Gmail に転送担当者総務部社外サーバー有 /7/1 3: 通常の状態で発生する ( いつ発生してもおかしくない ) 顧客リスト顧客リスト顧客リスト受注伝票受注伝票受注契約書得意先 ( 直近 5 年間に実績があるもの ) 得意先 ( 直近 5 年間に実績があるもの ) 得意先 ( 直近 5 年間に実績があるもの ) 受注伝票 ( 過去 10 年分 ) 受注伝票 ( 過去 10 年分 ) 受注契約書原本 ( 過去 10 年分 ) 部部社内サーバー有 /7/1 3: 通常の状態で発生する ( いつ発生してもおかしくない ) 部部可搬電子媒体有 /7/1 2: 特定の状況で発生する ( 年に数回程度 ) 部部モバイル機器有 /7/1 3: 通常の状態で発生する ( いつ発生してもおかしくない ) 部部社内サーバー /7/1 3: 通常の状態で発生する ( いつ発生してもおかしくない ) 部部書類 /7/1 2: 特定の状況で発生する ( 年に数回程度 ) 部部書類 /7/1 2: 特定の状況で発生する ( 年に数回程度 ) 製品カタログ現役製品カタログ一式部部社内サーバー /7/1 3: 通常の状態で発生する ( いつ発生してもおかしくない ) 製品カタログ現役製品カタログ一式部部書類 /7/1 2: 特定の状況で発生する ( 年に数回程度 ) 製品カタログ現役製品カタログ一式部部可搬電子媒体 /7/1 2: 特定の状況で発生する ( 年に数回程度 ) 調達調達調達情報資産名称キャンペーン応募者リスト委託先リスト発注伝票発注伝票備考 20xx 年のキャンペーン応募者情報外部委託先 ( 直近 5 年間に実績があるもの ) 発注伝票 ( 過去 10 年分 ) 発注伝票 ( 過去 10 年分 ) 利用者範囲管理部署評価値部部社内サーバー有 /7/1 3: 通常の状態で発生する ( いつ発生してもおかしくない ) 総務部総務部社内サーバー /7/1 3: 通常の状態で発生する ( いつ発生してもおかしくない ) 総務部総務部社内サーバー /7/1 3: 通常の状態で発生する ( いつ発生してもおかしくない ) 総務部総務部書類 /7/1 2: 特定の状況で発生する ( 年に数回程度 ) 脆弱性 ( 対策状況チェックシートで設定 ) 1 可能性 : 低 2 リスク中 1 可能性 : 低 2 リスク中 1 可能性 : 低 2 リスク中技術製品設計図現役製品の設計図開発部開発部社内サーバー /7/1 3: 通常の状態で発生する ( い 2: 部分的に脆弱性未対つ発生してもおかしくない ) 策技術製品設計図現役製品の設計図開発部開発部書類 /7/1 2: 特定の状況で発生する ( 年 2: 部分的に脆弱性未対 1 可能性 : 低 2 リスク中に数回程度 ) 策重要度保存期限登録日現状から想定されるリスク ( 入力不要自動表示 ) 被害発生可能性リスク値 1 / 7 ページ

2 中小企業の情報セキュリティ対策ガイドライン付録 8 情報資産管理台帳 (Ver.1.4) 業務分類情報資産名称備考利用者範囲管理部署個人情報個人情報の種類要配慮個人情報マイナンバー機密性評価値完全性可用性重要度保存期限登録日脅威の発生頻度 ( 脅威の状況シートで設定 ) 現状から想定されるリスク ( 入力不要自動表示 ) 脆弱性 ( 対策状況チェックシートで設定 ) 被害発生可能性リスク値 < 記入内容についての解説 > 1 業務分類情報資産と関連する業務や部署を記入します情報資産が少なければ省いても構いません 2 情報資産名称情報資産の名称や内容を表すものを簡潔に記入します正式名称がないものは社内通称で構いません 3 備考情報資産名称だけでは個人情報の有無や重要度が判断できない場合に説明を記入してください 4 利用者範囲情報資産を利用してよい部署等を記入してくださいアクセスコントロールに利用できます 5 管理部署情報資産に対して情報セキュリティ上の管理責任がある部署等を記入してください小規模事業者であれば担当者名を記入することでも構いません 6 情報資産の媒体や保存場所をリストから選択してください書類と電子データの両方を保有している場合は2 行に分けて記入してくださいこの項目から脅威と脆弱性を想定します 7 個人情報の種類個人情報 1 要配慮個人情報 2 マイナンバーが含まれる場合は該当欄に有を記入します 1 要配慮個人情報もマイナンバーも個人情報ですがここでは要配慮個人情報とマイナンバー以外の個人情報に有を記入してください 2 本人の人種信条社会的身分病歴犯罪の経歴犯罪により害を被った事実等が含まれる個人情報 8 重要度情報資産の機密性完全性可用性のそれぞれの評価値 (0~2) を選びます 3 種類の評価値を計算した重要度 (2~0) が表示されます 7でいずれかの個人情報が有の場合重要度は自動的に 2 となります 9 保存期限法律で定められた保存期限または利用目的が完了して廃棄や消去が必要となる期限を記入します必要な期間以上に保有し続けるより廃棄消去したほうがリスクが小さくなる場合に利用します 10 登録日情報資産管理台帳に登録した日付を記入します内容に変更があった場合はその更新日に修正します 11 脅威の発生頻度脅威の状況シートにおける対策を講じない場合の脅威の発生頻度欄に記入された3 段階の値のうちごとにもっとも大きい値を示しています ( 記入の必要はありません ) 12 脆弱性対策状況チェックシートで選択された対策状況をもとに脆弱性への対策状況を3 段階で表示します ( 記入の必要はありません ) 13 被害発生可能性脅威と脆弱性をもとに現状の対策状況で被害が発生する可能性を高中低の3 段階で表示します 14 リスク値情報資産の重要度と被害発生可能性の積をもとにリスクの大きさを大中小の3 段階で表示します 2 / 7 ページ

3 中小企業の情報セキュリティ対策ガイドライン付録 8 情報資産管理台帳 (Ver.1.4) 情報資産管理台帳業務分類情報資産名称備考利用者範囲管理部署個人情報個人情報の種類要配慮個人情報マイナンバー機密性評価値完全性可用性重要度保存期限登録日脅威 ( 脅威の状況シートで設定 ) 現状から想定されるリスク ( 入力不要自動表示 ) 脆弱性 ( 対策状況チェックシートで設定 ) 被害発生可能性リスク値 3 / 7 ページ

4 中小企業の情報セキュリティ対策ガイドライン付録 8 脅威の状況 (Ver.1.4) 脅威の状況シート書類可搬電子媒体事務所 PC モバイル機器社内サーバー社外サーバー個別の脅威 ( 考えられる典型的な脅威 ) 秘密書類の事務所からの盗難秘密書類の外出先での紛失盗難情報搾取目的の内部不正による書類の不正持ち出し業務遂行に必要な情報が記載された書類の紛失秘密情報が格納された電子媒体の事務所からの盗難秘密情報が格納された電子媒体の外出先での紛失盗難情報搾取目的の内部不正による電子媒体の不正持ち出し業務遂行に必要な情報が記載された電子媒体の紛失情報搾取目的の事務所 PC へのサイバー攻撃情報搾取目的の事務所 PC での内部不正事務所 PC の故障による業務に必要な情報の喪失事務所 PC 内データがランサムウェアに感染して閲覧不可不正送金を狙った事務所 PC へのサイバー攻撃情報搾取目的でのモバイル機器へのサイバー攻撃情報搾取目的の不正アプリをモバイル機器にインストール秘密情報が格納されたモバイル機器の紛失盗難情報搾取目的の社内サーバーへのサイバー攻撃情報搾取目的の社内サーバーでの内部不正社内サーバーの故障による業務に必要な情報の喪失安易なパスワードの悪用によるアカウントの乗っ取りバックアップを怠ることによる業務に必要な情報の喪失対策を講じない場合の脅威の発生頻度 (1~3 から選択 ) 対策状況 ( 対策状況チェックシートに入力すると自動で表示 )

5 対策状況チェックシート中小企業の情報セキュリティ対策ガイドライン付録 8 対策状況チェックシート (Ver.1.4) 情報セキュリティ対策の種類情報セキュリティ診断項目回答値経営者の主導で情報セキュリティの方針を示していますか? (1) 組織的セキュリティ対策情報セキュリティの方針に基づき具体的な対策の内容を明確にしていますか? 情報セキュリティ対策を実施するための体制を整備していますか? 情報セキュリティ対策のためのリソース ( 人材費用 ) の割当を行っていますか? 秘密情報を扱う全ての者 ( パートタイマーアルバイト派遣社員顧問社内に常駐する委託先要員等を含む ) に対して就業規則や契約等を通じて秘密保持義務を課していますか? (2) 人的セキュリティ対策従業員の退職に際しては退職後の秘密保持義務への合意を求めていますか? 会社の秘密情報や個人情報を扱うときの規則や関連法令による罰則に関して全従業員に説明していますか? 管理すべき情報資産は情報資産管理台帳を作成するなど何処にどのようなものがあるか明確にしていますか? 秘密情報は業務上必要な範囲でのみ利用を認めていますか? (3) 情報資産管理秘密情報の書類に秘マークを付けたりデータの保存先フォルダを指定するなど識別が可能な状態で扱っていますか? 秘密情報を社外へ持ち出す時はデータを暗号化したりパスワード保護をかけたりするなどの盗難紛失対策を定めていますか? 秘密情報は施錠保管やアクセス制限をして持ち出しの記録やアクセスログをとるなど取り扱いに関する手順を定めていますか? 重要なデータのバックアップに関する手順を定め手順が遵守されていることを確認していますか? 秘密情報の入ったパソコンや紙を含む記録媒体を処分する場合ゴミとして処分する前にデータの完全消去用のツールを用いたり物理的に破壊したりすることでデータを復元できないようにすることを定めていますか? 特定個人情報の取扱ルール ( 管理担当者の割当て収集利用保管廃棄の方法 ) を定めていますか? (4) マイナンバー対応特定個人情報に関する漏えい等の事故に備えた体制を整備していますか? 特定個人情報の安全管理についてルールや手段を定めていますか? 業務で利用するすべてのサーバーに対してアクセス制御の方針を定めていますか? 従業員の退職や異動に応じてサーバーのアクセス権限を随時更新し定期的なレビューを通じてその適切性を検証していますか? (5) アクセス制御と認証 (6) 物理的セキュリティ対策情報を社外のサーバー等に保存したりグループウェアやファイル受渡サービスなどを用いたりする場合はアクセスを許可された人以外が閲覧できないように適切なアクセス制御を行うことを定めていますか? パスワードの文字数や複雑さなどを設定する OS の機能等を有効にしユーザーが強固なパスワードを使用するようにしていますか? 業務で利用する暗号化機能及び暗号化に関するアプリケーションについてその運用方針を明確に定めていますか? 業務を行う場所に第三者が許可無く立ち入りできないようにするための対策 ( 物理的に区切る見知らぬ人には声をかける等 ) を講じていますか? 最終退出者は事務所を施錠し退出の記録 ( 日時退出者 ) を残すなどのように事務所の施錠を管理していますか? 重要な情報や IT 機器のあるオフィス部屋及び施設には許可された者以外は立ち入りできないように管理していますか? 秘密情報を保管および扱う場所への個人所有のパソコン記録媒体等の持込み利用を禁止していますか? セキュリティ更新を自動的に行うなどにより常にソフトウェアを安全な状態にすることを定めていますか? ウイルス対策ソフトウェアが提供されている製品については用途に応じて導入し定義ファイルを常に最新の状態にすることを定めていますか? 業務で利用する IT 機器に設定するパスワードに関するルール ( 他人に推測されにくいものを選ぶ機器やサービスごとに使い分ける他人にわからないように管理する等 ) を定めていますか? 業務で利用する機器や書類が誰かに勝手に見たり使ったりされないようにルール ( 離席時にパスワード付きのスクリーンセーバーが動作する施錠できる場所に保管する等 ) を定めていますか? (7) IT 機器利用業務で利用する IT 機器の設定について不要な機能は無効にするセキュリティを高める機能を有効にするなどの見直しを行うことを定めていますか? 5 / 7 ページ

6 中小企業の情報セキュリティ対策ガイドライン付録 8 対策状況チェックシート (Ver.1.4) 情報セキュリティ対策の種類情報セキュリティ診断項目回答値社外で IT 機器を使って業務を行う場合のルールを定めていますか? 個人で所有する機器の業務利用について禁止するか利用上のルールを定めていますか? 受信した電子メールが不審かどうかを確認することを求めていますか? 電子メールアドレスの漏えい防止のための BCC 利用ルールを定めていますか? (8) IT 基盤運用管理インターネットバンキングやオンラインショップなどを利用する場合に偽サイトにアクセスしないための対策を定めていますか? IT 機器の棚卸 ( 実機確認 ) を行うなど社内に許可なく設置された無線 LAN などの機器がないことを確認していますか? サーバーには十分なディスク容量や処理能力の確保停電落雷などからの保護ハードディスクの冗長化などの障害対策を行っていますか? 業務で利用するすべてのサーバーに対して脆弱性及びマルウェアからの保護のための対策を講じていますか? 記憶媒体を内蔵したサーバーなどの機器を処分または再利用する前に秘密情報やライセンス供与されたソフトウェアを完全消去用のツールを用いたり物理的に破壊したりすることで復元できないようにすることを定めていますか? 業務で利用するすべてのサーバーやネットワーク機器に対して必要に応じてイベントログや通信ログの取得及び保存の手順を定めた上でログを定期的にレビューしていますか? 重要な IT システムに脆弱性がないか専用ツールを使った技術的な診断を行うことがありますか? ファイアウォールなど外部ネットワークからの影響を防ぐための対策を導入していますか? 業務で利用しているネットワーク機器のパスワードを初期設定のまま使わず推測できないパスワードに変更して運用していますか? クラウドサービスなどの社外サーバーを利用する場合は費用だけでなく情報セキュリティや信頼性に関する仕様を考慮して選定していますか? 最新の脅威や攻撃についての情報収集を行い必要に応じて社内で共有していますか? 情報システムの開発を行う場合開発環境と運用環境とを分離していますか? (9) システム開発及び保守セキュリティ上の問題がない情報システムを開発するための手続きを定めていますか? 情報システムの保守を行う場合既知の脆弱性が存在する状態で情報システムを運用しないようにするための対策を講じていますか? 契約書に秘密保持 ( 守秘義務 ) 漏洩した場合の賠償責任再委託の制限についての項目を盛り込むなどのように委託先が遵守すべき事項について具体的に規定していますか? (10) 外部委託管理委託先との秘密情報の受渡手順を定めていますか? 委託先に提供した秘密情報の廃棄または消去の手順を定めていますか? (11) 情報セキュリティインシデント対応ならびに事業継続管理秘密情報の漏えいや紛失盗難があった場合の対応手順書を作成するなどのように事故の発生に備えた準備をしていますか? インシデントの発生に備えた証拠情報の収集手順を定め運用していますか? インシデントの発生で事業が中断してしまったときに再開するための計画を定めていますか? 6 / 7 ページ

7 中小企業の情報セキュリティ対策ガイドライン付録 8 診断結果 (Ver.1.4) 診断結果 < 凡例 > 情報資産台帳の内容にかかわらず必要〇リスク値算定の結果必要情報資産管理台帳からは判断不可能リスク値算定の結果不要対策の種類 ( 情報セキュリティポリシー項目 ) (1) 組織的対策情報セキュリティポリシー策定の必要性対策状況チェックの診断結果 ( 対策の実施率 ) < ツール B> 情報セキュリティポリシーによる対策規定の要否 (2) 人的対策 (3) 情報資産管理 (4) マイナンバー対応 (5) アクセス制御及び認証 (6) 物理的対策 (7) IT 機器利用 (8) IT 基盤運用管理 (9) システム開発及び保守 (10) 外部委託管理 (11) 情報セキュリティインシデント対応ならびに事業継続管理情報資産管理台帳に基づく管理すべき情報資産の状況ごとの件数書類可搬電子媒体事務所 PC モバイル機器社内サーバー社外サーバー情報資産の件数個人情報の種類別件数情報資産の重要度個人情報要配慮情報マイナンバー重要度 :2 重要度 :1 重要度 :0 個人情報の件数情報資産の件数

(2) 情報資産の重要度に応じた適正な保護と有効活用を行うこと (3) 顧客情報資産に関して当法人の情報資産と同等の適正な管理を行うこと (4) 個人情報保護に関する関係法令各省庁のガイドライン及び当法人の関連規程を遵守すると共にこれらに違反した場合には厳正に対処すること ( 個人情報保護 )

(2) 情報資産の重要度に応じた適正な保護と有効活用を行うこと (3) 顧客情報資産に関して当法人の情報資産と同等の適正な管理を行うこと (4) 個人情報保護に関する関係法令各省庁のガイドライン及び当法人の関連規程を遵守すると共にこれらに違反した場合には厳正に対処すること ( 個人情報保護 ) 情報セキュリティ基本規程特定非営利活動法人せたがや子育てネット第 1 章総則 ( 目的 ) 第 1 条この規程は当法人の情報セキュリティ管理に関する基本的な事項を定めたものです ( 定義 ) 第 2 条この規程に用いる用語の定義は次のとおりです (1) 情報資産とは情報処理により収集加工蓄積される情報データ類情報処理に必要な情報システム資源 ( ハードウェアソフトウェア等 )