2004年度 情報セキュリティ 目標達成状況
情報セキュリティマネジメントシステムの維持
2004年8月審査
- 是正処置要求(メジャー)0件
- 是正処置要求(マイナー)0件
- 観察事項(オブザベーション)5件(うち1件はGood Point)
主な内容
- ソフトウェアのライセンス管理や現状把握などがツールを使い、合理的かつ徹底して行われていた。(Good Point)
- 「リスク対応計画」「是正対応計画」で終了期日の変更が発生した案件について情報セキュリティ委員会でフォローアップがより確実に行えるような仕組みの作成されることが望ましい。
-
複数あるマニュアルの軽微な不整合がある。
などのご指摘を頂きました。
2005年2月審査
- 是正処置要求(メジャー)0件
- 是正処置要求(マイナー)0件
- 観察事項(オブザベーション)3件(うち1件はGood Point)
主な内容
- 社外からの協力要請や質問などに対して、現状実施していない項目などを積極的に改善する仕組みが取られている。(Good Point)
- 内部監査で発見された不適合や運用上の不適合事項などへの是正対応スケジュールに変更があった場合の管理方法などが現状曖昧であった点。
-
情報資産の分類の際に従業員間で情報資産の重要度に関する意識に温度差があるなどのご指摘
などのご指摘を頂きました。
目標達成状況
セキュリティ教育の拡充
本年度は、主に個人情報が中心に勉強会などを開催したため、情報セキュリティという部分では教育を行うことができませんでした。ただし、個人情報保護という観点と情報セキュリティには、似通った部分も多く、会社全体としての意識は高揚したと思います。
会社全体の残留リスクを10%減少させる。(~2005/05まで)
2004年度に、情報資産に対して様々なセキュリティ施策を施した結果を反映し、2005年度の情報資産のリスクアセスメントをおこないましたが、2004年度と比べ約6%の減少という結果に終わりました。
目標は10%の減少でしたので、目標としては未達成という結果でしたが、これは技術の進歩やデバイスの低価格化などにより、新しい脅威が社内でも使用されることが多くなってきており、そのために新しい脅威などを計上したため、目標を達成することができませんでした。
クライアントに対し、セキュリティ施策を積極的に提案する。
今年度目標に掲げていたセキュリティ施策の提案では、個人情報の施行にあわせて社会的なニーズが高まってきた関係から、お客様のご要望に応じたセキュリティ施策の提案を行えました。
社内ネットワークの見直し
当社の業務を支えるネットワークシステムを大幅に増強し、弊社サーバの約8割が一新され、社内情報の漏洩を防止すると共に利便性を増しました。
また、お客様のコンテンツを預かるデータセンターの増強も図りました。特に回線品質では、速度が倍になり、より信頼できるシステムへと一新されました。また、お客様からの要望が多いハウジングサービスなどでは、収容できるスペースが倍になり、今までお受けするのが難しかった設計から運用までのトータルなサービスが提供できる体制となりました。
著作権の整備
当社では、WEBコンテンツの製作という観点から、非常に多くの写真や画像などを使用します。一昨年までは、その部分に関しては、案件を管理するディレクターや製作スタッフの良識に合わせた管理しか行えていませんでした。その為、2004年社内にある写真や画像などを全てチェックし、ライセンスが発生するものや著作権に抵触する恐れがあるものは使用しないように改善を図りました。
BS7799とJISQ15001の手順をISO9001のフローに統合する。
当社では、非常に多くのマネジメントを取得・運用しております。2003年度までは、情報セキュリティ規格であるBS7799やプライバシーマークのJIS Q 15001などの手順の統合などを統合を進めてまいりました。しかしながら、実際にリスクが高いのは、普段行っている業務です。その為、2004年度では、業務フローであるISO9001とBS7799のスタッフレベルでのマニュアルを統合を進めてまいりましたが、残念ながら期間内に終えることはできませんでした。
原因としては、当社で行う業務フローが多岐にわたり、なおかつパッケージの販売などとは異なり、一つの案件ごとに内容が異なります。その為、業務フローのどこにリスクが発生するか。を測定し、そのリスクに対して有効な対策は何か。を検討していかなくてはなりません。それらの作業を行っていったため、期間内に終えることはできませんでした。