2005年度 情報セキュリティ 目標達成状況
情報セキュリティマネジメントシステムの維持
2005年8月審査
- 是正処置要求(メジャー)0件
- 是正処置要求(マイナー)0件
- 観察事項(オブザベーション)2件
主な内容
- 付箋紙等のスタッフが日常的に使用するメモに関して、内包する情報に応じて取り扱いをより確実におこなうことが望ましい。
- 社内で使用する裏紙について、どのようなものが利用可能か、表面に記載された情報に応じたリスクアセスメントをおこなうことが望ましい。
などのご指摘を頂きました。
2006年1月審査
- 是正処置要求(メジャー)0件
- 是正処置要求(マイナー)0件
- 観察事項(オブザベーション)3件(うち1件はGood Point!)
主な内容
- 当社ISMS適用範囲外にあたる顧客常駐型プロジェクト(当社のオフショアサービス)においても、顧客セキュリティ要求事項を遵守するために、教育・訓練が適切におこなわれていることが確認できた。(Good Point!)
- 外注先に対する契約書の中において、機密性に関しては問題ないが、完全性、可用性などに関しても言及し、合意することが望まれます。
などのご指摘を頂きました。
目標達成状況
ホスティング・ハウジングサーバのメンテナンス強化
ホスティング・ハウジングサーバに関して、専任スタッフを増員し、体制面での拡充をおこないました。また、顧客提供用ホスティングサーバに関しては、サーバを一新し今まで以上に効率的に管理がおこなえるようになり、かつよりセキュアなサーバになりました。
サーバルームの構築・ネットワークの構築
- 可用性の高いネットワークサービスを停止しないように事務所移転をおこなう。
- 社内のサーバをセグメントし、効率的な運用ができるように統合する。
上記項目は、当社移転に関連したものでしたが、移転時大きな問題もなく無事に完了しました。また、サーバ体制を一新し、特にプライベートエリアのサーバに関しては、機能ごとに分割・統合し、効率的な運用をおこなえるようになりました。
ハードウェア資産とユーザのアクセス権限を一元管理する。
ハードウェア資産に関しては、クライアントPC管理用のアプリケーションを通じて、セキュリティパッチやアンチウィルスの定義ファイル、故障時の対応などを一元的に管理できる体制になりました。また、ユーザのアクセス権限に関しても、ディレクトリサービスなどを活用し、効率的な運用をおこなえるようになりました。
特定のディレクトリについて、自動的にバックアップサーバに保存されるようにプロセスを変更する。
業務プロセスの一部を変更し、成果物などを一つのサーバに集約することにより、業務に影響を与えるようなインシデントが発生した場合でも、すぐに復旧できる体制を構築しました。
ディスククリーンアップとデフラグを毎月100%実施
当社では、毎月マネジメントシステムや業務上の約束事などを遵守させるために、月間評価表というシステムがあります。ここでの結果は給与などにも反映されます。2005年度より、このシステムの評価基準に上記目標を組み込み、目標が達成できるように社内告知などを通じて啓蒙してきましたが、100%という目標に対して、2005年度実績値70%程度と目標を達成することはできませんでした。2006年度中には、上記目標を達成できるように、さらに啓蒙に力を入れていきたいと思います。