グループディスカッションのイントロダクション
DESCRIPTION
2010/08/27 私立大学情報教育協会 平成22年度(2010年度) 大学情報セキュリティ研究講習会 B.情報セキュリティマネジメントコース http://www.juce.jp/sec2010/TRANSCRIPT
![Page 1: グループディスカッションのイントロダクション](https://reader035.vdocuments.net/reader035/viewer/2022081821/547d1b36b4af9f122b8b45f7/html5/thumbnails/1.jpg)
大学情報セキュリティ研究講習会 情報セキュリティマネジメントコース
Page1
最近の情報漏洩事故・事件
※Security NEXT(http://www.security-next.com/category/cat191/cat25)を基に作成
![Page 2: グループディスカッションのイントロダクション](https://reader035.vdocuments.net/reader035/viewer/2022081821/547d1b36b4af9f122b8b45f7/html5/thumbnails/2.jpg)
大学情報セキュリティ研究講習会 情報セキュリティマネジメントコース
Page2
対策の具体的な事例1-2-1:情報資産の内容について組織的な重み付けがなされているか。
委員会を組織
情報システム部門のみ対応
全学系と事務系に分けて管理
(情報システム部門以外の)教員・事務職員はチェックリストを使用
(職員は)内規に従って運用,教員は内規に準じた運用
(大学規模が小さいので)職員と教員の担当者が対応
![Page 3: グループディスカッションのイントロダクション](https://reader035.vdocuments.net/reader035/viewer/2022081821/547d1b36b4af9f122b8b45f7/html5/thumbnails/3.jpg)
大学情報セキュリティ研究講習会 情報セキュリティマネジメントコース
Page3
対策の具体的な事例1-2-2:情報資産の重要度の指標について適切な基準が設定されているか。
委員会で設定
申し合わせで対応
情報システム部門の電子データのみ対応
紙のデータも含み情報システム部門が設定
紙のデータも含み委員会で設定
紙のデータも含み内規で設定
![Page 4: グループディスカッションのイントロダクション](https://reader035.vdocuments.net/reader035/viewer/2022081821/547d1b36b4af9f122b8b45f7/html5/thumbnails/4.jpg)
大学情報セキュリティ研究講習会 情報セキュリティマネジメントコース
Page4
対策の具体的な事例2-3-2:意思決定内容が適切になされているか、学内外の専門家による評価の仕組みがあるか。
内部監査を実施,外部の監査法人も利用
情報システム部門は発言権のみ
![Page 5: グループディスカッションのイントロダクション](https://reader035.vdocuments.net/reader035/viewer/2022081821/547d1b36b4af9f122b8b45f7/html5/thumbnails/5.jpg)
大学情報セキュリティ研究講習会 情報セキュリティマネジメントコース
Page5
対策の具体的な事例2-6-2:組織単位で実施手順を点検・評価し、改善する仕組みができているか。
データの所管先を明確にして点検
委員会を設置
文書類を整備
事務組織においてリスクアセスメントを実施
内部監査の実施
各部門で定期的に点検
新しい取組み提案要望の審議
規程・ポリシー等の確認・見直し・改定
![Page 6: グループディスカッションのイントロダクション](https://reader035.vdocuments.net/reader035/viewer/2022081821/547d1b36b4af9f122b8b45f7/html5/thumbnails/6.jpg)
大学情報セキュリティ研究講習会 情報セキュリティマネジメントコース
Page6
対策の具体的な事例2-6-3:危機管理のための実施マニュアルを作成しているか。
ガイドライン・マニュアル等を作成
情報システム部門内のみのマニュアルあり
委員会の方針により管理者が責務を負う
私情協のチェックリストを活用
![Page 7: グループディスカッションのイントロダクション](https://reader035.vdocuments.net/reader035/viewer/2022081821/547d1b36b4af9f122b8b45f7/html5/thumbnails/7.jpg)
大学情報セキュリティ研究講習会 情報セキュリティマネジメントコース
Page7
対策の具体的な事例3-7-2:情報セキュリティ教育は定期的に実施され、参加を促す工夫がなされているか。
研修会に欠席した場合資料を配布
開催を教授会で周知・案内書を配布・グループウェアの掲示板を利用
所属長に出席を依頼
セキュリティ情報をメールで送信
注意事項をまとめた資料を配布
試験を実施し,不合格の場合利用を制限
LMSの受講を義務付け,受講しなかった場合利用を制限
サーバー管理者に現状調査と注意喚起を実施
![Page 8: グループディスカッションのイントロダクション](https://reader035.vdocuments.net/reader035/viewer/2022081821/547d1b36b4af9f122b8b45f7/html5/thumbnails/8.jpg)
大学情報セキュリティ研究講習会 情報セキュリティマネジメントコース
Page8
対策の具体的な事例3-7-3:過去の事故事例を共有し、情報セキュリティ教育などに活用しているか。
講習会の中で学内外の事例を紹介
直近の事例を紹介したリーフレットを配布
直近の事例を含めて講習会資料を更新
講習会で学内での事例・優先すべき遵守事項を挙げている
学内外の事例を委員会から各組織に伝達
![Page 9: グループディスカッションのイントロダクション](https://reader035.vdocuments.net/reader035/viewer/2022081821/547d1b36b4af9f122b8b45f7/html5/thumbnails/9.jpg)
大学情報セキュリティ研究講習会 情報セキュリティマネジメントコース
Page9
対策の具体的な事例3-8-3:事故対応に対するトレーニングを定期的に実施しているか。
私情協の講習会で対応