情報セキュリティの制度
こんばんわ!!
koutaです。
前回は教育について少し書きました。
まとめるとちゃんと意識出来るように教育しなさいって話でした。
今回は制度についてですが。
まともに書いたらどうなってしまうのか…という感じなので。
詳しくは個別に書いていくとして概要でいこうと思います。
制度の目的は
- 情報流出のリスクを減らす
- 情報を適切に扱うことが出来る
- 利便性を極力そこなわない。
- 守らせる!!
です。
情報セキュリティの3大要素というのがあり。
- 機密性(認可された人だけがアクセスできるようにすること)
- 完全性(正確な情報であること)
- 可用性(使いたい時に使えること)
最近はさらに3要素追加されていて。
- 責任追跡性(いつだれが何をしたかを追跡できる)
- 真正性(なりすましや虚偽の情報でないこと)
- 信頼性(矛盾がないこと)
ということが出来るように制度化していきます。
大切なことは一気にやろうとしないこと。
ゆっくり組織に浸透させていく事が大切です。
(責任者の任命とかは抜いてます)
1.扱う情報の棚卸
現状の把握です。
2.情報のレベルの決定
個人情報ありとか、社外秘とかね。
3.社内のフロアを情報のレベルにより分割(ゾーニング)
個人情報はこのエリアのみ等。
4.情報の管理台帳の作成
誰か何をどのようにがわかるもの
5.罰則規定の決定
性善説に立つとすぐに情報漏洩します。
簡単に書くとこんな感じかな?
ただ上記を素直にやってしまうと。。。
すぐに不満だらけになります。
セキュリティを強くすると利便性がそこなわれるからです。
実際は組織を上手く組み合わせていろんな部分を簡略化していくことになります。
(多分皆さんの組織でもそうなってます)
今日はこの辺にしておきます。
情報セキュリティの3大要素と追加の3要素が原則ということを覚えておきましょう☆