取引先に対する情報管理はどこまで立ち入っていいのか?
悩むとこですよね。
自社だけで情報管理が限界にあるこの時代、取引先を含めた関係者全員の管理が求められる流れになっています。
一般的には、下記の様な「情報セキュリティチェックシート」を配布して解答してもらうことで行うケースが多いと思います。
このチェックシートで点数評価をして70点以上なら合格というような感じですね。
更新頻度は年1回でやってます。
下記はほんの一例で業種や業務によって求められる内容は違うと思うので、必要な箇所は各種カスタマイズしてくださいね。
社内情報管理については、長くなるので詳細を個別に分けてます。以下よろしかったらご覧ください。
1.情報セキュリティの管理体制の確立
1-1情報セキュリティ管理についての組織体制を構築していますか。
1-2情報セキュリティに関するルールを制定し、文書化していますか。
1-3組織内の情報セキュリティ実施項目について、責任者および関連する役割と責任を明確化していますか。
2.資産の機密管理
①機密情報の明確化
2-1-1当社が指定した機密情報及びこれを利用して創出した機密情報の資産リストを作成し、明確化していますか。
2-1-2管理リスト化された機密情報を適切にセキュリティ管理していますか。
2-1-3資産リストおよび情報の管理の実態を、責任者は定期的に確認していますか。
②機密情報の交換の管理
2-2-1お取引先様と機密情報を共有する委託先等の管理リストを作成していますか。
2-2-2委託先等とは下記に定めるような条項を含む、機密保持契約を行っていますか。
2-2-3当社とお取引先様と同様に、お取引先様と委託先等の間で機密情報の交換に関するルールを制定していますか。
2-2-4お取引先様の委託先等に対して情報セキュリティの実態調査を定期的に実施していますか。
2-2-5お取引先様と委託先等との間での機密情報の受け渡しを記録していますか。
2-2-6当社との情報の返却・回収のルールが含まれていますか。
2-2-7当社との間で定めたルールに基づいて交換・返却・回収を実施していますか。
2-2-8当社と電子商取引システム、図面の受け渡しの電子システムなどを通じて定常的に情報の交換を行なう場合は、手順や運用の方法などの機密保持対策を両者間で合意し、これを実施していますか。
③物理管理
2-3-1敷地・建物・部屋へ関係者外の立ち入りを制限出来るように区分されていますか。
2-3-2立ち入りを制限する物理的しくみが備わっていますか。
2-3-3情報を知る必要がある人のみに、立ち入りを許可していますか。
2-3-4セキュリティ強化が必要な場合、塀、IDカード認証、監視カメラ、センサ等を設置していますか。
2-3-5入退出記録を定期的に確認していますか。
2-3-6従業員と外来者を区別できるしくみがありますか。
2-3-7機密情報は情報を知る必要がある人のみがアクセスできるしくみがありますか。
④持ち出し・持ち込み(機密情報・記憶媒体・PC)・廃棄の管理。
2-4-1機密情報を取り扱う場所には、業務目的以外でPC、スマートフォン、携帯情報端末、音楽プレ-ヤー、記憶媒体(USBメモリ等)などの持込を禁止していますか。
2-4-2個人所有のPCは業務に使用しない。または持ち込みを禁止していますか。
2-4-3業務に必要な記憶媒体・PCの管理表を作成していますか。
2-4-4業務に必要な電子媒体・PCの持ち出しルールを制定し、実施していますか。
2-4-5重要な機密情報が記載されたドキュメントの廃棄手順が決まっていますか。
2-4-6機密情報および機密情報が化体された試作品等の廃棄手順が決まっていますか。
⑤情報システムの利用者IDとパスワードの管理
2-5-1電子化情報へのアクセスの際は一人ひとり個別のID・パスワードを使用し、当社と共有する機密情報に誰がアクセスしたのかの記録を取得していますか。
2-5-2IDの発行ルールがありますか。
2-5-3パスワードの管理ルールがありますか。
2-5-4定期的にIDの管理状況を確認していますか。
⑥PC・サーバ等情報システムの設置および廃棄の管理
2-6-1社内ネットワークは、ルータやファイアーウォールなどにより、社外ネットワークと分離していますか。
2-6-2ITシステムを設置する際の手続きが決まっていますか。
2-6-3ITシステムの管理・使用ルールを決めていますか。
2-6-4故障交換の場合を含めITシステムの廃棄・再利用ルールが決まっていますか。
2-6-5サーバは安全を確保できる適切な場所に設置されていますか。
2-6-6サーバ管理場所への出入りを制限されていますか。
⑦不正プログラムの対策
2-7-1コンピュータウィルス・不正プログラムへの対策・ルールを決定していますか。
2-7-2ウイルス対策・不正プログラム対策のルールが実施されていますか。
2-7-3ウイルス対策実施状態を自己点検するチェックシートとしくみがありますか。
2-7-4ウイルスによる被害を最小限にする為のルールを策定していますか。
2-7-5ファイル交換ソフト等データ自動送信ソフトのインストール・使用は禁止していますか。
2-7-6禁止ソフトがインストールされていないかを定期的に確認していますか。
⑧バックアップの実施
2-8-1バックアップのルールが決まっていますか。
2-8-2ルール通り定期的にバックアップが実施されていますか。
2-8-3バックアップデータの保管ルールを策定しルール通り管理を実施していますか。
3.人的な対策
①情報セキュリティの啓発、教育および訓練
3-1-1情報セキュリティの教育計画を策定していますか。
3-1-2組織責任者またはプロジェクトリーダ等の管理者への情報セキュリティ教育を定期的に実施し、受講記録を作成していますか。
3-1-3全従業員・派遣社員への情報セキュリティ教育を実施、また委託先は業務委託社員に同様の情報セキュリティ教育を実施し、その受講記録を作成していますか。
3-1-4ルールを自己点検するチェックシートを作成し、全員が実施していますか。
3-1-5自己点検の結果不適合を改善するしくみを構築していますか。
3-1-6自己点検チェックシートの中にクリアデスク・クリアスクリーンのルールを入れていますか。
②従業員等との誓約書
3-2-1就業規則等に機密保持の項目があり、従業員からは機密保持の誓約書を取得していますか。
3-2-2派遣社員から着任時に機密保持の誓約書を取得していますか。
3-2-3業務委託の際、委託先は社員から機密保持の誓約書を取得していますか。
4.情報セキュリティ事件・事故対応
4-1事故発生時の連絡・対応の責任者がおり、事故報告体制を構築していますか。
4-2当社と共有する機密情報について上記の問題および事件・事故を発見または発生の危機を感じた場合は、速やかに当社に通報していますか。
4-3情報セキュリティ事故が発生した場合の対応マニュアルを整備し手順を明確化していますか。
4-4事故の経緯、対応経過を記録していますか。
4-5事故再発防止の対策を直ちに実施し、周知徹底していますか。
5.情報セキュリティマネジメントの実施
5-1組織的な情報セキュリティ活動の自主チェック内容が決まっていますか。
5-2組織的に定期的な自主チェックが実施されていますか。
5-3自主チェックの結果、明確になった不適合事項に対して、改善計画を立案していますか。
