情報システムの緊急事態における行動指針(大会社・全業種)
情報システムの緊急事態における行動指針(大会社・全業種)のテキスト
情報システムの緊急事態における行動指針
1.目 的
この指針は、○○株式会社(以下「会社」という。)における情報セキュリティ対策の一環として、会社の事業活動に重大な支障をきたす機密情報の漏えいや不正アクセス、大規模災害発生などの緊急事態における迅速かつ適切な社内情報資産の保護・復旧を目的として、緊急時に備えた取扱者の行動規準を定めるものである。
2.適用範囲
会社の情報システムに関して、すべての取扱者に適用する。
3.活動主体
(1)情報セキュリティ委員会
情報セキュリティ委員会は、緊急事態が発生した場合に、情報システム部門の要請により招集される。
緊急事態が発生した際、情報セキュリティ委員会は、緊急事態への対処方法および事後対処方法を決定し、会社情報資産の保護・復旧活動の指揮をとる。
(2)情報システム部門
情報システム部門は、ユーザー部門から緊急事態の発生もしくはその可能性の報告を受けた場合、あるいは自らがそれを検知した場合、情報セキュリティ委員会の招集を要請する。
情報システム部門は、必要に応じて、情報セキュリティ委員会の決定に基づき、被害を受けたユーザー部門の復旧作業に全面的に協力し、会社情報資産の保護・復旧に努める。
(3)ユーザー部門
ユーザー部門は、緊急事態の発生もしくはその可能性を検知した場合には、直ちに情報システム部門に報告のうえ、情報セキュリティ委員会の指示を受けながら会社の情報資産の保護・復旧に努める。
なお、ユーザー部門は、役割分担を事前に明確化し、緊急事態に対応するための緊急時行動計画書などを策定しておくものとする。
4.緊急事態発生時に対する行動指針
緊急事態(大規模災害を除く。)発生時に対する行動指針は次のとおりとする。
なお、大規模災害発生時の行動指針については、後記の第5項による。
(1)予防措置
緊急事態の発生を回避するため、各種の社内規程・規則に則り、たとえば、以下のような情報セキュリティ保持のための活動を平素から行う。
① ネットワーク管理担当者は「ネットワークセキュリティ規則」「対社外ネットワーク接続規則」などに準じ、ネットワークに対する物理的・論理的アクセス管理を行う。
② 機器管理担当者は「物理的セキュリティ規則」に準じ、情報セキュリティ確保のための対策を行う。
③ 取扱者は「電子機密情報取扱規則」などに準じ、情報の取扱い・管理を行う。
④ 取扱者は「ウイルス対策基準」などに準じ、ウイルス検査を日々行う。
⑤ セキュリティ担当は、「外部要員管理規準」などに準じた協力会社社員などに対する監督・教育を行う。
⑥ セキュリティ担当は、最新の不正アクセス対策などの情報セキュリティに関する情報を収集する。
⑦ セキュリティ担当は、利用者へのセキュリティ教育を行う。
など
(2)検知措置
緊急事態が万一発生した場合にその状況を速やかに発見できるよう、各種の社内規程・規則に則り、たとえば、以下のような監視活動を平素から適切に行う。
① 電子化情報管理者は「電子機密情報取扱規則」などに準じ、情報の保管・利用の実施状況を点検する。
② 機器管理担当者は「物理的セキュリティ規則」などに準じ、情報機器の保管・利用状況の点検を行う。
③ セキュリティ担当は「アクセス管理規則」などに準じ、ネットワークやソフトウェアヘのアクセス状況の監視やアクセス履歴の点検を行う。
④ セキュリティ担当は「アクセス管理規則」などに準じ、利用者管理に関する設定状況の点検を行う。
⑤ 取扱者は「ウイルス対策基準」などに準じたウイルス検査を実施する。
など
(3)対 処
緊急事態が万一発生した場合の対処については、次のとおりとする。
① 優先順位の決定
発生し得る緊急事態に対して、その対処活動は、お客様や取引先などに対して会社が重大な被害を与える可能性のある場合を最優先に行う。
② 連 絡
a 社内への連絡
緊急事態の発生を検知した部門は、第3項に示す責務に従い、緊急事態発生に関する情報を、情報システム部門に報告する。
報告を受けた情報システム部門は、セキュリティ統括会議長に連絡するとともに、情報セキュリティ委員会の招集を要請する。
情報セキュリティ委員会は、関連する部門へ連絡し、対処活動への協力要請や対処方法の指示などを行う。
また、緊急事態の状況に応じて、広報部門などへ状況説明を行い、報道機関への対処方法を検討する。
b お客様などへの連絡
緊急事態の発生により、お客様や取引先などに重大な影響や被害を与えた場合、ユーザー部門は、必要に応じて情報セキュリティ委員会の指示の下、随時、お客様や取引先に連絡をとる。
c 公的機関への連絡
情報セキュリティ委員会は、緊急事態の状況に応じて、以下の公的機関への連絡を判断し、公的機関の協力・連携を確保する。
例1)警察や法的機関など
例2)コンピュータ緊急対応センター
例3)情報処理振興事業協会
など
③ 応急措置
ユーザー部門は、情報セキュリティ委員会の指示の下に、関連する他部門と協力し、被害拡大の防止および業務活動の継続を目的として、被害状況に応じて応急措置を速やかに講じる。たとえば、以下の項目を調査・究明する。
例1)不正アクセスの侵入経路と思われるネットワークの切り離し
例2)不正アクセスを受けたと思われるコンピュータの動作状況の監視またはシャットダウン
例3)業務活動を継続するための代替手段の確保
など
また、お客様や取引先などに重大な影響や被害を与えた場合には、ユーザー部門は、情報セキュリティ委員会の判断に従い、お客様や取引先に対する対応措置を速やかに講じる。
④ 被害状況の把握
緊急事態が発生した場合には、ユーザー部門は、情報セキュリティ委員会の指示の下に、関連する他部門と協力し、被害状況の把握を速やかに行う。たとえば、以下の項目を調査・究明する。
例1)不正アクセスなどにより受けた被害状況(漏えい、改ざん、破壊など)とその影響範囲
例2)不正アクセスなどを受けた日時、その侵入経路、方法(必要に応じ、加害者の特定も行う)
例3)機密情報の漏えいの有無(漏えい痕跡がある場合、漏えいした機密情報およびその漏えい先の特定を行う。)
例4)会社外への被害拡大や影響波及の有無
など
⑤ 復 旧
ユーザー部門は、情報セキュリティ委員会の指示の下に、関連する他部門と協力し、被害を受けた情報システムが正常稼動できるよう、復旧作業を実施する。
(4)事後対処
緊急事態発生およびその対処が完了した後には、ユーザー部門は、情報セキュリティ委員会の指示のもとに、関連する他部門と協力し、再発防止のための根本対策を検討、実施する。たとえば、下記の事項を行う。
例1)情報システムの脆弱性調査
被害を受けた情報システムの脆弱性を調査する。ここでは、第4項(3)④の被害状況の把握を詳細に実施し、当該情報システムのセキュリティ上の欠陥を洗い出す。
このとき、情報システム的対策のみに焦点をあてることなく、日々の運用状況や利用状況における問題点の有無などの社会システム的対策(※1)についても調査を実施しなければならない。
※1 社会システム的対策とは、情報技術による対策以外の、人的、法的な対策をいう。
例2)防止策の検討・実装
被害を受けた情報システムの脆弱性を解決するために、セキュリティ設計を再度実施し防止策の検討を行い、セキュリティ機能の追加実装を行うか、あるいは情報システムの再構築を行う。対社外ネットワーク接続を実施している場合には、その構成・方法から見直しを図る。
また、不正アクセスを受けたネットワークやコンピュータには、侵入者によりバックドア(※2)を作成されていることが想定されるため、すべての情報システムの各種設定状況に異常がないか、不審なプログラムやネットワークサービスがないかなどを速やかに点検する。もしくは、必要に応じて、情報システムの再導入、再設定を行うことが望ましい。
※2 バックドアとは、侵入者が再度容易に侵入できるよう施した細工のことをいう。たとえば、ユーザIDを追加しておく、不正なプログラムを配置する、ネットワーク構成機器の設定情報を変更する、などがあげられる。
例3)作業記録の作成・保管
異常事態の検知、被害の状況、応急措置、根本対策などの作業記録を作成し保管・保存する。特に、不正アクセスを検知したアクセス履歴などのデータは、必ず保管・保存する。
5.大規模災害発生時に対する行動指針
大規模災害発生時に対する行動指針は次のとおりとする。なお、情報システムにかかる事項以外の大規模災害発生時の行動指針(社員の安否状況の早期確認など)については、別に定める「緊急時対策要領」に準じるものとし、本指針では言及しない。
(1)予防措置
ユーザー部門は災害発生時を想定し、その故障や破壊が所管する情報システムの可用性に重大な影響を与え、その結果として業務の遂行およびお客様へのサービス低下を招くおそれがある機器類については、たとえば、以下のような対策を事前に講ずる。
例1)機器やデータのバックアップに関する技術、手法、体制の強化
例2)ネットワークや情報機器の設置環境における安全面の充実
例3)ネットワークの多重化
例4)代替機の準備やバックアップサイトの設置
例5)保守契約の締結
など
(2)対 処
大規模災害が万一発生した場合の対処については、次のとおりとする。
① 優先順位の決定
社内情報システムの復旧に関する優先順位は、次のとおりとする。
a 最重要基幹システム・基幹ネットワーク
b 重要業務システム
c その他
このほか、ユーザー部門においては、製品開発やお客様サービスに影響を与える情報システムを高い優先順位に位置づける。また、コンピュータや外部記録媒体などに格納された機密情報に対しても機密分類に応じて優先順位を付与し、その安全確保について留意する。
② 連 絡
連絡体制は、第4項(3)②に準ずる。
③ 災害発生直後の要員碓保
ユーザー部門長は、社員の安否確認後、安全面を確保したうえで就業可能な会社社員および就業可能時間帯を把握して、復旧作業要員を招集する。
④ 被害状況の把握
出勤したユーザー部門の社員は、たとえば、下記項目について部門内での被害状況を調査する。
例1)電話の稼動状況
例2)電力の供給状況
例3)ネットワークの状況
例4)情報システムの稼動状況
例5)機密情報を格納したコンピュータや外部記億媒体などの状況
など
⑤ 応急措置
応急処置として被害拡大の防止措置を講ずる。
⑥ 復 旧
復旧作業は、下記要領により行う。
a 復旧計画立案の前提
ユーザー部門の業務復旧のために必要な情報システムは最優先で復旧させる。
この場合には、情報セキュリティ委員会の判断の下に、緊急的措置として各種の社内規則・規準の遵守よりも、まずは情報システムの稼動を優先させても構わないものとする。
b 復旧計画の立案
電力の供給を前提として、ユーザー部門の業務復旧に必要な情報システムを特定し、その復旧目処について検討する。
情報システム部門が所管する情報システムについては、情報システム部門に問合せし、その復旧目処などの情報を収集する。
お客様への影響度、復旧までの業務代替の可能性や、復旧の優先度、復旧後の情報システム縮退稼動の可能性などについても検討する。
c 復旧作業
稼動可能な機器類を調達し、ユーザー部門が所管するネットワーク、情報機器の最低限の構成を確保する。
最低限の構成確保が困難な場合には、メーカーやベンダーへ保守契約の有無にかかわらず、支援可能かを打診し、可能な限り協力を仰ぐ。
情報システム部門が所管する情報システムの稼動には、情報システム部門と連携・協力し復旧作業を行う。
以上