トリコロールな猫/セキュリティ

思いついたことをぼちぼち書いてます。

JNSA「情報セキュリティポリシーサンプル改版」メモ

以前「情報セキュリティポリシーを書くときに使えそうな情報を集めてみた」という記事を書いたところ、コンスタントにアクセスがあって、需要があるんだなあと思ってたんですよ。

security.nekotricolor.com

で、そこで紹介したJNSAの「情報セキュリティポリシーサンプル0.92a版」、すごくいい資料なんですがいかんせん作成が2002年と古くて、というかセキュリティポリシーの情報って全体的に古いものが多くて、最近これだけセキュリティセキュリティ騒がれてるのにセキュリティポリシーはあんまり注目されてないのかしら?と思っていたら、まさかの全面改訂きました。2016年3月29日公開です。

www.jnsa.org

今年はISMS認証が改正されるようですし、経産省から「情報セキュリティ管理基準(平成28年改正版)」も出ているのでセキュリティポリシーが熱い年になるのでしょうか。

構成

16の方針・規定のサンプルが公開されています。

情報セキュリティ基本方針
情報セキュリティ方針
人的管理規程
外部委託先管理規程
文書管理規程
監査規程
物理的管理規程
リスク管理規程
セキュリティインシデント報告・対応規程 
システム変更管理規程
システム開発規程
システム管理規程
ネットワーク管理規程
システム利用規程
スマートデバイス利用規程
SNS利用規程

主な改訂点はこちらにまとめられています。

情報セキュリティポリシーサンプル改版概要

0.92a版にはなく1.0版で新しく追加された規定は以下の5つ。

  • リスク管理規程
  • システム変更管理規程
  • システム開発規程
  • スマートデバイス利用規程
  • SNS 利用規程

0.92a版は中〜大規模企業が対象だったのに対し、1.0版は小〜中規模企業が対象となっています。
想定されるネットワーク構成、情報セキュリティ委員会の体制図なども概要に乗っています。
情報セキュリティ委員会を持つ中小企業ってそんなにあるんだろうか?

「SNS 利用規程」感想

全部読むのは大変なので、時流に乗っている規定「SNS 利用規程」だけ見てみました。

企業がSNSを利用する社員にいいたいことは、「企業秘密漏らすなよ?」「バカッターとかすんなよ?」の2点に尽きると思われますが、それをどうポリシーっぽく書くか、ですよね。サンプルではそれを見事にちゃんとした文章にしています。

企業秘密漏らすなよ?

「4.1 業務目的での利用」にこんな記載があります。

(2)SNS に記述する内容は、公開 Web サーバに記述する公開情報に準ずる。

仕事の話をする場合にはWebサーバで公開されている情報以外は喋るなよ、と。まあ企業の公式アカウントはそれ以上のことを書いたりもするわけですが、広報がやってるんでもない限りはこのルールが分かりやすくていいですよね。

バカッターとかすんなよ?

これは「4.2 業務目的外(私的利用)での利用」に該当箇所が。

社員等が SNS を利用する場合、当社の非公開情報、法律、公序良俗に違反する 記載をしてはならない。

さすがにコンビニの冷蔵庫に入るのは公序良俗に違反するというのは誰でもわかると思うので(分かってないならわざわざツイッターにあげたりしないよね)、明確に禁止することでそれなりの抑止にはなりそうですね。私的利用についてまで指示される覚えはねーって思うかもしれませんけど、どこかに属している以上ある程度はしょうがない。実際勤め先まで晒されて一緒くたに叩かれるとか普通ですし、業界によっては致命的です。

でも以下2つを私的利用の方に書くのはちょっと過保護なような。

(4)社員等は使用デバイス(PC、スマートフォン、タブレット)と SNS の設定により、 使用デバイス上のデータ、写真、位置情報と SNS が自動連携され、自分のプライバシーデータ、写真、位置情報が予期せず公開される可能性のあることに注意すること。
(5)社員等は SNS の予期せぬ設定変更、機能追加によりセキュリティ制限レベルが変わり、情報がより一般に公開される可能性のあることに注意すること。

まあこれも情報漏えいやバカッター防止には書くしかないのかな。

炎上したら連絡を

業務目的・業務目的外どちらにも、クレーム、中傷、炎上があった場合は報告しろとありますね。

(3)SNS 利用において、他利用者からのクレーム、中傷、炎上等がある場合は、情報 セキュリティ担当者に報告すること。

(6)社員等は SNS 利用において、当社の非公開情報の漏えいの可能性、他利用者からのクレーム、中傷、炎上等により当社の信用失墜がある可能性がある場合は、 部門長及び情報セキュリティ委員会に報告すること。

「炎上」って単語が入ってるとか時代ですねえ。

炎上は悪意がなくてもするときはするので、意図的にやったのでなければ炎上しても素直に報告してきたら厳罰に処すようなことはしないで欲しいものです。情報漏えいと同じで、報告することを躊躇させるようなやり方は絶対によくない。

ここまで私的利用について踏み込んでるポリシーというのも珍しい気がしますが、今後はこれが当たり前になっていくんでしょうね。