面向交易对方 信息安全构筑指南20-3c

面向交易对方信息安全构筑指南2011年4月1日（Ver2.0a）

松下电器产业株式会社

采购本部

信息安全本部

PC记忆媒体

・电脑、服务器的数据

・

电子化信息化体品纸信息

1. 信息安全管理体制的确立

z建立体制实现有组织性的决策和推进。

有效推进信息安全工作的要点是，明确公司的信息安全责任人、相关部门的代表、各部门的推进责任人/担当等，在公司内部统一思想，建立便于推进的组织体制。

z明确信息安全工作相关的基本思想(方针)，由经营者亲自宣布实施活动。

经营者应本着「正式推进信息安全」的姿态，将信息安全的目标以及为达成此目标企业应该采取的行为向公司内外传达，并将信息安全的基本思想(方针)实行文档化。

针对「为什么需要开展信息安全」中的「Why」进行规定，并明确保护对象、保护程度（对象范围）、责任人等。

z制定信息安全相关的社内规则，并实行文档化。

1.信息安全的管理体制

2.信息资产的机密管理

3.人的安全

4.信息安全事件/事故对应

5.信息安全管理

有必要从上述要点出发实现规则化。

参考资料：1-2 ISM方针.pdf

2. 信息资产的机密管理

2-1.机密信息的明确化

2-2.机密信息的交换/归还管理

2-3.物理性管理

2-4.信息系统用户ID和密码的管理

2-5. 电脑/服务器等信息系统的设置/运用以及废弃的管理2-6. 非法程序对策

2-7. 备份的实施

2-8. 与贵公司共享机密信息的委托对象的管理

z为了明确应该保护什么样的信息，按各个管理组织单位制作机密信息的信息资产清单。

通过明确应保护的信息，能明确处理信息的人员、场所、流程。而且，可以确定对信息的威胁、并能选定必要的管理对策和确认脆弱性/风险的有无。

z定期确认是否对机密信息实行正确的特定，并重审清单。

信息的机密性有时会发生变化，因此需要定期重审。

参考资料：2-1-1 信息资产清单.xls

z 为了明确本基准所适用的信息、进行合理管理，有必要将本公司的机密信息，与其他公司的信息以及贵公司自己的信息明确区分、进行管理。

z 「明确区分以实行管理」是指实行严密管理、仅限对该信息持有访问权限的人员可以访问。例如，将本公司的纸质信息与其他公司的纸质信息放入不同的文件夹或文件柜里分别上锁保管。电子化信息在服务器里也实行不同的文件夹保存、并以文件夹为单位设定访问权限。z 原则上禁止复制/复写机密信息。仅限依据合同等由本公司认可的情况下，才可以复制/复写机密信息。

这是●公司的资料，嗯、应该保管在这个文件柜里。●社

z贵公司与本公司之间的业务中，需要交换机密信息时，请依据与本公司协商一致的规则中的流程或方法来执行。如果需要用协商一致的规则以外的方法进行交换时，请事前取得本公司的许可。

交换的方式包括电子邮件发送、通过服务器的信息交换、输送、亲手交接等。信息交换的对方不仅仅指与本公司、在贵公司内部的信息交换以及贵公司与您的委托对象之间的交接也包括在内。

参考资料：2-2-2 机密信息带出申请表.xls

带出过程中，务必要将机密信息随时随身携带，不得将其远离自己视线

将电子化信息保存到电脑/记忆媒体里带出、或者是用电子邮件附件发送时，

z为了防止在通信过程中被他人窥视、篡改，有必要对电子化信息实施加密。z万一发生误发信，为了防止信息泄露，密码需单独发送。

z实施可防止信息错误发送或电子邮件错误发送的对策。

WinZip等）。

2-2-3．当受本公司委托的业务结束后，请按照与本公司协商一致的流程归还机密

信息。如果是在贵公司废弃机密信息时，请按照与本公司协商一致的方法，实施下述a)-d)的所有要求事项。

请按照本公司的要求，提供该废弃记录。

[纸]

碎纸机[服务器、电脑、记忆媒体]

－物理方式破坏

－完全消除数据

a)如果是电子化信息，请将服务器、电脑、记忆媒体里保存的机密信息全部删除。b)如果是纸质信息(文件/图纸等)，请用碎纸机碎掉、溶解或焚烧。

c)如果是化体品(模具/试制品等)，请破坏至无法读取原信息。

d)如果向专业废弃物处理公司等外部公司委托废弃时，请与该委托公司签订保密合同。

z为了从物理上限制对信息的访问而实行区域区分。

z管理责任人特定业务上有必要进入的人员，且仅限特定人员可以进入。

z在台账上等记录处理机密信息的场所的进出情况，并将该记录保留一定期间（与本公司达协商一致的期限）。过后发现了非法访问等情况时，可以切实确认是谁访问的机密信息。

z伴随记忆媒体的大容量化，很有可能带出大量数据。因此禁止未经许可擅自带入记忆媒体。

另外，即使是业务需要，也必须事前取得许可、以此来牵制擅自带入行为。

参考资料：2-3-5 电脑及记忆媒体等带入申请表.xls

只要我不说

估计没人会知道・・就用我个人所有的SD卡将数据带去吧

z请制定并实施包括ID的申请、认可、发行、删除的手续在内的管理规则。

z用户发生离职、调动、业务变更等情况时，请合理的删除或变更其ID。

z为防止未经管理的ID被非法使用，请定期确认ID，并检查是否存在应该删除的ID。

参考资料：2-4-1 ID管理台账.xls

员工●●已经调动工作，

abcd1234

不得告知他人

参考资料：2-4-3 服务器访问权限人员名单.xls

z留取是谁、什么时候访问了机密信息的记录，日后一旦发生非法访问时，确保可以验证。z访问日志也需要实行与机密信息等同的管理。