「関係当局」の具体的な意味と例
ISMSの修正を行っている中で、少し疑問に思うことがありましてご質問致します。
(1)「情報セキュリティ運営管理規程」の5.1の「関係当局」の具体的な意味と例。
(2)(1)の例が外部組織の場合、対象先もサンプルとは違って外部組織になるのではないでしょうか?それでも問題はないでしょうか。
(3)「情報セキュリティ運営管理規程」の10.2に関して、JISの要求事項ではラベリングをしなければならないと規定していますが、本規程では原則行わないと示しています。これはどう解釈すれば宜しいのでしょうか。
質問(1)に関して
「関係当局」とは、情報セキュリティインシデントなどがあった場合に関係する組織(外部および内部)のことを指します。
例としては、以下のようなものがあります。
・社内他組織(適用範囲外)
・関連会社または団体
・自治体(市役所など)
・監督官庁
・管轄裁判所
・警察署
・消防署
・通信事業者(NTT、プロバイダー など)
・水道事業者(冷却装置などを設備がある場合など)
などなど…..
「専門組織」は、一般的に情報セキュリティに関する研究会又は会議,及び情報セキュリティの専門家による協会・団体のことを指します。
目的としては、ISO27002では以下のように記載があります。
「自社の情報セキュリティのための情報及び技術等を最新に保つための組織」と考えると分かりやすいかと思います。
1. 最適な慣行に関する認識を改善し、関係するセキュリティ情報を最新に保つ
2. 情報セキュリティ環境の理解が最新で完全であることを確実にする
3. 攻撃及びぜい弱性に関連する早期警戒警報、勧告及びバッチを受理する
4. 専門家から情報セキュリティ助言を得る
5. 新しい技術、製品、脅威又は脆弱性に関する情報を共有し、交換する
6. 情報セキュリティインシデントを扱う場合の適切な連絡窓口を提供する
例としては、有名なところで「情報処理推進機構(IPA)」や「JPCERTコーディネーションセンター(JPCERT/CC)」などとなります。
他にも、「JIPDEC 日本情報経済社会推進協会」や 「NPO 日本ネットワークセキュリティ協会」などといったところあります。
質問(2)に関して
サンプル文書での記載に関して説明します。
この部分は、お客様の現状にあわせて変更していただく部分(青波線)として記載させていただいております。
サンプル文書では、各カテゴリーに関する担当部門があり、そこでは緊急連絡表などが既に組織に存在し、管理されていることを考慮して書かれております。
例えば、「法律、規制」などといったものは、ISMSに関わらず、組織で連絡が取れるように連絡表などを用意していたり、また顧問弁護士などと契約していたりするかと思います。
ISMSを構築する際、既存の管理体制とは別に連絡表などをつくるといった二重管理が発生することがあります。
これらを避ける措置としてご理解いただければ思います。
質問(3)に関して
ISO 27002:2015の「8.2.2 情報のラベル付け」の実施の手引きには「情報のラベル付けに関する手順は,・・・手順では,作業負荷を減らすために,ラベル付けを省略する場合(例えば,秘密でない情報のラベル付け)を定めることもできる。・・・」と記載があります。
また、関連情報として、「情報及び関連する資産のラベル付けが,好ましくない影響を及ぼすこともある。分類された資産は,特定が容易になるため,内部関係者又は外部からの攻撃者による盗難もされやすくなる。」とあります。
当サンプル文書では、「ラベリング(ラベル付け)」については、「情報セキュリティ運営管理規程-10.1 分類の指針」で「重要資産」として分析された資産に対して、「(秘)」または「重要資産」と印を押したり記載するなどとしているため、「ラベリングについては、原則行わない。」としております。
なお、既に「ラベル付け」のルールがある場合は、御社のルールを記載していただければ思います。
また、新たにルールを設けられる場合は、例えば紙ベースの資産では、「機密レベル」および「取扱範囲」により色分けしたラベルを、ファイル(取扱う単位)等ごとに付けるなどの方法が考えられます。
ご参考までに。
