2003年度 情報セキュリティ 目標達成状況

2003年度は、全社、MS本部、ネットワーク管理エリア対象に計5つの目標を定めていました。
BS7799では、2003年度に初めて目標を立てたということもあり、スローガン的な目標になっています。

「リスクアセスメントで使われている文書においてBS7799-2:1999の管理策番号が使われていた。これはBS7799-2:2002に対応しなければならない。」など2002年度版への移行を急遽決めたため、いくつかの文書で1999年度版のままになっていた事に起因したご指摘を頂きました。また、「教育・訓練の手順は定義され実施されていますが、力量の決定について追加されることが望ましい。(5.2.2)」などの教育に関してもご指摘を頂きました。

「Good Point」として、「御社の内部監査システムは、各事業だけの監査にとどまらず、そこで発見された不適合等を責任者監査という形で管理者へフィードバックするシステムになっていることが観察されました。今後もこのシステムを有効に利用し、会社全体が情報セキュリティの維持と改善に向けた活動が行われることを期待します。」との評価を頂きました。また、他の4件の観察事項に関しては、事務局側の書類作成上のミスに関して、指摘を頂きました。

制作部門でのバックアップの漏れをチェックする仕組みが確立でき、適切に遵守されていることが内部監査等でも確認されました。ただし、フロント部門でのバックアップに関しては、コストの対比で実施が見送られました。

昨年1年間で数回暗号化の未実施が確認されました。これに起因するトラブル等は発生していませんでしたが、目標としては未達という結果になりました。

プログラム開発におけるデバッグシートにセキュリティ的な要求事項のいくつかを挙げたことにより、トラブル等は発生していない。

内部監査にて確認を行いましたが、実施した変更に関して、もれなく記録されていることを確認しました。

訓練を行う際にサーバが一時的に停止するため、影響範囲を考慮した結果、実際の訓練自体は行いませんでした。ただし、障害が発生した際に、HDDの換装などが定められた手順どおりに実施できたことが確認できました。

ファイアーウォール、DNS等の基幹サービスの代用体制が準備されました。