見出し画像
Photo by yukiko160830

「行動規範」 エンドユーザー版

Iz_yan

ずいぶん間があいてしまいました。
堅くてやや冗長な文書です。要約したり端折ったりしてダイジェスト版を配布して、日常的に参照してもらえるようにするのも良いかも知れません。
オフィスで働く人全員に意識してもらうことを考えると、長い文書を読み取るのが苦手な人もいると思います。具体的な事例を記すのも理解の助けになるかも知れないですね。


情報セキュリティ行動規範


本規範は、従業員が情報セキュリティに関する責任を認識し、組織の情報資産を保護するために遵守すべき事項を定めます。

第1章 情報セキュリティの基礎

  1. 情報セキュリティポリシーへの同意と遵守: 全ての従業員は、組織の情報セキュリティポリシーの内容を理解し、同意し、遵守しなければなりません。ポリシーは定期的に見直され、変更があった場合は速やかに周知されます。

  2. 情報セキュリティに関する知識とスキルの向上: 従業員は、情報セキュリティに関する最新の知識とスキルを習得するよう努めなければなりません。組織は、教育・研修機会を提供します。

  3. 情報セキュリティに関する法律、規制、ガイドラインの遵守: 従業員は、情報セキュリティに関連する全ての法律、規制、およびガイドライン(個人情報保護法を含む)を遵守しなければなりません。

第2章 情報資産の管理

  1. 情報資産へのアクセス管理: 情報資産へのアクセスは、職務上必要な範囲に限定されます。適切な認証手続き(ID/パスワード管理、多要素認証等)を遵守し、不正アクセスを防止します。

  2. 情報資産の私的利用禁止: 業務で利用する情報資産(PC、ネットワーク、データ等)を私的に利用することを禁止します。

  3. 情報資産の情報の収集・管理・分析: 情報収集・管理・分析は、業務目的のみで行い、適切な権限に基づいて実施します。個人情報を含む場合は、個人情報保護法を遵守し、適切な安全管理措置を講じます。

第3章 業務遂行と倫理

  1. 業務上知り得た情報の取り扱い: 業務上知り得た情報は、機密情報として適切に管理し、許可なく第三者に開示または漏洩してはなりません。退職後も同様とします。

  2. 「善管注意義務」: 従業員は、善良な管理者としての注意義務をもって情報資産を取り扱わなければなりません。不注意による情報漏洩や不正アクセスを防止するよう努めます。

第4章 セキュリティインシデント発生時の対応

  1. PCの挙動に関すること: PCの動作が不安定、不審な挙動が見られる場合は、速やかに情報システム部門に報告します。

  2. 事故の報告: 情報セキュリティインシデント(情報漏洩、不正アクセス、ウイルス感染等)が発生した場合、またはその疑いがある場合は、速やかに情報システム部門または上長に報告します。報告を怠った場合、懲戒処分の対象となる場合があります。

第5章 情報セキュリティー上必要な注意・留意事項

  1. 情報セキュリティー上必要な注意・留意事項: 不審なメールの開封、不審なWebサイトへのアクセス、未承認のソフトウェアのインストールなどを禁止します。パスワードは複雑なものを設定し、定期的に変更します。共有アカウントの使用は禁止します。

  2. 報告・問い合わせ対応: 情報セキュリティに関する疑問や不明点があれば、情報システム部門または上長に問い合わせます。

第6章 継続的な教育と能力開発

  1. 定期的な教育・研修: 組織が提供する情報セキュリティに関する定期的な教育・研修に積極的に参加します。

  2. 内部検定・資格: 組織が推奨する情報セキュリティ関連の内部検定や資格取得に挑戦することを推奨します。

  3. セキュリティーランドスケープのレポート: 最新のセキュリティ脅威や動向に関するレポートを定期的に確認し、情報セキュリティ意識の向上に努めます。

第7章 組織への貢献 リスクコミュニケーション

  1. 最新のセキュリティ情報の周知: 最新のセキュリティ情報や脅威情報を組織内で共有し、情報セキュリティ意識の向上に貢献します。

  2. 不審なメール・PCの挙動を発見したら、周囲の人に同様の事象が発生していないか確認します。

  3. 知見に基づく対策・回避策の策定: 業務を通じて得られた知見に基づき、情報セキュリティ対策や回避策の策定に貢献します。

  4. セキュリティコミュニティへの参加: 必要に応じて、外部のセキュリティコミュニティに参加し、情報収集や情報共有を行います。

  5. セキュリティ資格の取得: 情報セキュリティに関する専門性を高めるため、関連する資格取得を推奨します。

第8章 柔軟な運用

  1. 本規範は、組織の状況や情報セキュリティのトレンドの変化に合わせて、必要に応じて改訂されます。改訂された場合は、速やかに従業員に周知します。

  2. 本規範を遵守することは、組織の情報資産を守り、事業継続性を確保するために不可欠です。違反した場合は、就業規則に基づき懲戒処分の対象となる場合があります。

今日はここまで。

第7章 見出しに「リスクコミュニケーション」と項目として2を追加しました。