|
先日製造業で大きな機密情報の漏洩事件が
ありましたね。超優良企業と呼ばれる
自動車関連の企業様です。
情報セキュリティというとIT企業、金融、個人情報を
取り扱う企業というイメージがありますが
機密情報という切り口では、製造業をはじめ
ほとんどの企業様が関係してくることになります。
ですので今回のことは1つの契機としまして
製造業においても機密情報の管理が徹底されたり
重要性が換気されるのではないかと思っています。
どういった方針を策定すべきか?
└推進体制の構築と現状のセキュリティ状況の把握
└機密情報の保護に関して、重要度に応じて統一的な
管理体制のルールを構築し、徹底していく
ISMSの確立
└資産の捉え方
└最重要資産
└顧客の機密情報、顧客情報
└自社の技術的な機密情報
└重要資産
└工場に付随する保護すべき機器を含めた
資産
└従業員情報
└取引先の窓口情報
└製品
└想定される脅威
└顧客の機密情報の盗難や紛失
└自社の技術的な機密情報の盗難や紛失
└不正侵入による自社の技術的な機密情報の盗難や紛失
└製品の盗難
└停電
└仕様違いによる不良の発生
└想定される脆弱性
└入退室管理されていない
└顧客の機密情報や自社の技術情報に関するの管理ルールがない
└製品の保管に関して盗難等に関するリスクを想定していない
└想定されるリスク値の高いもの
└顧客の機密情報や自社の技術情報、製品の保護
詳細管理策の強化レベル(1〜5、5が最も力を注ぐ)
└A.5 情報セキュリティ基本方針:5
└機密情報を取り扱っていることとその保護をすることの
重要性を伝達する
└A.6 情報セキュリティのための組織:5
└契約関連の文言等等、現状でよいのか、またそれらの検討を誰が行
うのかを明確にする
└A.7 資産の管理:5
└重要な資産が漏れないようにする。
└ラベル付けのルールを明確にする
└A.8 人的資源のセキュリティ:5
└最も重要な項目。雇用前、雇用中、雇用の終了時の処置を従業員、
契約相手、主にサプライヤーに対して強化していく必要がある
└A.9 物理的及び環境的セキュリティ:3
└機密情報に関しての保護としてあまり実施されていなければ
施錠できるラック等の投資は検討が必要
└重要エリアに関しての入退室管理ルール
を構築
└A.10 通信及び運用管理:2
└現状把握を徹底する。
└A.11 アクセス制御:2
└現状把握を徹底する。
└登録だけでなく削除及びID等の棚卸しも意識する
└A.12 情報システムの取得、開発及び保守:2
└自社仕様でのシステムがあるかどうか
ある場合はセキュリティ要求事項をシ
ステム仕様に明確にする
└なければ除外
└A.13 情報セキュリティインシデントの管理:3
└障害管理、問題管理として強化する
└A.14 事業継続管理:3
└人材面の事業継続に関わる部分を盛り込む
└工場のダウンに関する対応・復旧に関して
盛り込む
└A.15 順守:3
└ライセンス管理、個人情報管理を強化する。
└製造上の著作権や特許関連及び輸出入関係
に関する順守ルールの策定
|
![[11]](https://s.yimg.jp/i/jp/blog/p3/images/paging_for2.gif){kind=small}
コメント(0)
2019
