大学情報セキュリティ研究講習会 情報セキュリティマネジメントコース

Page1

最近の情報漏洩事故・事件

※Security NEXT(http://www.security-next.com/category/cat191/cat25)を基に作成

大学情報セキュリティ研究講習会 情報セキュリティマネジメントコース

Page2

対策の具体的な事例1-2-1：情報資産の内容について組織的な重み付けがなされているか。

委員会を組織

情報システム部門のみ対応

全学系と事務系に分けて管理

(情報ｼｽﾃﾑ部門以外の)教員・事務職員はﾁｪｯｸﾘｽﾄを使用

(職員は)内規に従って運用，教員は内規に準じた運用

(大学規模が小さいので)職員と教員の担当者が対応

大学情報セキュリティ研究講習会 情報セキュリティマネジメントコース

Page3

対策の具体的な事例1-2-2：情報資産の重要度の指標について適切な基準が設定されているか。

委員会で設定

申し合わせで対応

情報システム部門の電子データのみ対応

紙のデータも含み情報システム部門が設定

紙のデータも含み委員会で設定

紙のデータも含み内規で設定

大学情報セキュリティ研究講習会 情報セキュリティマネジメントコース

Page4

対策の具体的な事例2-3-2：意思決定内容が適切になされているか、学内外の専門家による評価の仕組みがあるか。

内部監査を実施，外部の監査法人も利用

情報システム部門は発言権のみ

大学情報セキュリティ研究講習会 情報セキュリティマネジメントコース

Page5

対策の具体的な事例2-6-2：組織単位で実施手順を点検・評価し、改善する仕組みができているか。

データの所管先を明確にして点検

委員会を設置

文書類を整備

事務組織においてリスクアセスメントを実施

内部監査の実施

各部門で定期的に点検

新しい取組み提案要望の審議

規程・ポリシー等の確認・見直し・改定

大学情報セキュリティ研究講習会 情報セキュリティマネジメントコース

Page6

対策の具体的な事例2-6-3：危機管理のための実施マニュアルを作成しているか。

ガイドライン・マニュアル等を作成

情報システム部門内のみのマニュアルあり

委員会の方針により管理者が責務を負う

私情協のチェックリストを活用

大学情報セキュリティ研究講習会 情報セキュリティマネジメントコース

Page7

対策の具体的な事例3-7-2：情報セキュリティ教育は定期的に実施され、参加を促す工夫がなされているか。

研修会に欠席した場合資料を配布

開催を教授会で周知・案内書を配布・グループウェアの掲示板を利用

所属長に出席を依頼

セキュリティ情報をメールで送信

注意事項をまとめた資料を配布

試験を実施し，不合格の場合利用を制限

LMSの受講を義務付け，受講しなかった場合利用を制限

サーバー管理者に現状調査と注意喚起を実施

大学情報セキュリティ研究講習会 情報セキュリティマネジメントコース

Page8

対策の具体的な事例3-7-3：過去の事故事例を共有し、情報セキュリティ教育などに活用しているか。

講習会の中で学内外の事例を紹介

直近の事例を紹介したリーフレットを配布

直近の事例を含めて講習会資料を更新

講習会で学内での事例・優先すべき遵守事項を挙げている

学内外の事例を委員会から各組織に伝達

大学情報セキュリティ研究講習会 情報セキュリティマネジメントコース

Page9

対策の具体的な事例3-8-3：事故対応に対するトレーニングを定期的に実施しているか。

私情協の講習会で対応