情報セキュリティ

ホーム>情報セキュリティ

ここから本文です。

情報セキュリティ

ISMS認証

この度、平成18年12月14日付けで、企業等からお受けした仕事を行う「バーチャル福祉工房」(大阪府ITステーション内 3階テレワーク室)の業務について、国際規格である情報セキュリティマネジメントシステムISMSの認証を取得しました。

〔審査登録機関登録マーク〕と〔ISMS認証基準:認定マーク〕です。

空白

セキュリティについて

「バーチャル福祉工房」(大阪府ITステーション内 3階テレワーク室)においては、個人情報保護などの社会情勢も踏まえ、かねてから、情報セキュリティには万全を期しており、入退室のチェックのため、指紋・顔認証システム(右の図)を導入するなど積極的な取り組みを行い、さらに情報セキュリティをより一層確実なものとするため、ISMS認証の取得に向けた取り組みを進めて参りました。

今後とも、万全の情報セキュリティと徹底したチェック体制で、企業等の皆様から安心してお仕事を任せていただけるよう、取り組んでまいります。

画面は、入退室の指紋・顔認証システムです。 画面は、入退室の指紋・顔認証システムです。
空白

空白

ISMSの運用について

バーチャル福祉工房として情報を適切に管理し、機密を守るための包括的な仕組みを行っております。

バーチャル福祉工房での業務における運用

機密保持契約

テレワーカー登録時と、各業務請負契約時に必要に応じて機密保持契約を締結しています。

入室時の顔・指紋認証

入室を顔認証または指紋認証を実施して管理しています。

持ち込みの私物について

私物の持込は原則禁止、持参した私物はロッカーに預けます。

業務に関係あるものや、身につける必要があるものについては、テレワーカーサポーターに許可を受けた上で、透明ビニールに入れて持込可能とします。

携帯電話は持ち込む場合、壁に掛けるようにお願いしています。

登録パスワード

各テレワーカーに、登録パスワードを設定してもらいます。

ログオンにはIDとパスワードを入力します。

パスワードは使用期限を設定しています。

資料(帳票)の管理

クライアントから預かった資料(帳票)を使って作業する場合、貸出の手続きをします。

受持った資料(帳票)を預かった(返却した)日付時間を記入しています。

休憩なども同様にしています。

媒体の取り扱い

USB接続の媒体やCDFD等の使用は禁止しています。

業務で必要がある場合は、テレワークサポーターが処理を行います。
 ※ウィルス・機密漏洩防止

その他

業務に関するデータは全てファイルサーバーにあり、各ワーカー用パソコンからアクセスします。

パソコンの操作で180秒間何もしないと画面ロックがかかり、また、離籍する場合は、画面ロックをします。
再度パソコンを操作する場合はログオンパスワードを入力してロックを解除しています。

各ワーカー用パソコンは、起動のたびにハードディスク内が完全に元の状態に戻るように設定してあります。

業務で作成したデータはファイルサーバーに保存されます。

空白

在宅での業務における運用

機密保持契約

テレワーカー登録時と、各業務請負契約時に必要に応じて機密保持契約を締結しています。

在宅業務において

業務を進めるのに、メールとウェブページを使用しています。

ネットIDパスワード

在宅の業務はウェブページでデータのダウンロード等を行っています。

アクセスする場合はIDとパスワードを設定しています。

メールでの機密事項の送受信もパスワードを設定しています。

ダウンロードファイル

自宅でダウンロードしたファイルは必ずウィルスチェックをし、業務の完了したファイルは、完全に削除をお願いしています。

資料(帳票)の管理

クライアントから預かった資料(コピー)は、貸出の手続きをします。

受持った資料(コピー)を預かった(返却した)日付時間を記入しています。

空白

ISMS(情報セキュリティマネジメントシステム)

ISMSとは

ISMS (アイ エス エム エス)

Information Security Management System
 (インフォメーション セキュリティ マネジメント システム)

企業や組織が自身の情報セキュリティを確保・維持するために、ルール(セキュリティポリシー)に基づいたセキュリティレベルの設定やリスクアセスメントの実施などを継続的に運用する枠組みのこと。ISMSに求められる範囲は、ISOIEC15408などが定めるような技術的な情報セキュリティ対策のレベルではなく、組織全体に渡ってセキュリティ管理体制を構築・監査し、リスクマネジメントを実施することである。

ISMSをその組織が保持しているかどうかを第三者が認定する制度としてISMS適合性評価制度」と呼ばれる――「情報処理サービス業情報システム安全対策実施事業所認定制度」に代わる、情報処理サービス業事業者に対するISOIEC17799:2000およびBS7799-2:1999に基づいた ――評価認定制度がある。現在、財団法人 日本情報処理開発協会(JIPDEC)を中心に2002年より正式運用されている。

ISMSの定義として財団法人 日本情報処理開発協会(JIPDEC)は、「ISMSとは、個別の問題ごとの技術対策のほかに、組織のマネジメントとして自らのリスク評価により、必要なセキュリティレベルを定め、プランを持ち、資源配分してシステムを運用することである」、また、「組織が保護すべき情報資産について、情報セキュリティの3要素(機密性・完全性・可用性)をバランス良く維持し改善することがISMSの要求する主なコンセプトである」と設定している。

空白

情報セキュリティ3要素

リスト機密性
アクセス権を持つ者だけが、情報にアクセスできることを確実にすること。
リスト完全性
情報および処理方法が正確であることおよび完全であることを保護すること。
リスト可用性
認可された利用者が、必要なときに、情報および関連する資産にアクセスできることを確実にすること。

リスクマネジメント (Risk Management)

リスクを組織的にマネジメントし、バザード(危害 (harm) の発生源・発生原因)、損失などを回避もしくは、それらの低減をはかるプロセスをいう。リスク・マネジメントとは各種の危険による不測の損害を最小の費用で効果的に処理するための経営管理手法である。

ISMS適合性評価制度

ISMS適合性評価制度は、わが国の情報セキュリティの向上に貢献するとともに、諸外国からも信頼を得られる情報セキュリティレベルを達成することを目的とした国際的に整合性のとれた情報セキュリティマネジメントに対する第三者適合性評価制度です。

審査登録を希望する企業(組織)のISMSISO27001の要求事項に適合しているかを審査登録機関が審査し、適合していればその企業(組織)を登録・公表する制度です。

この制度は、財団法人 日本情報処理開発協会(JIPDEC)が中心となって運用しています。

空白

空白