システム屋さんの忘備録

訪問ありがとうございます。システム屋と経営者・ユーザーとのやりとり、社内SE・システム管理者向け情報、生まれ育った京阪神の情報ブログです。このページへは「システム屋さん」で検索。

変化する社内システムルール

専任社内システム管理者の方はそれなりの知識とスキルがあり情報システム関連の社内規程、規定などを作成できますが、ちょっとパソコンに詳しいだけでシステム管理を任された兼任システム管理者にとっては手間のかかる作業になります。

書類

そこでお問い合わせの多い社内のルールについて簡単な「情報セキュリティのルール」のひな形(PDF)を用意しました。ひな形では情報管理者、個人情報保護管理者、社内システム管理者に役割を付与していますが自社に合うように変更してください。内容も随時変更が必要です。参考になれば幸いです。

簡単な「情報セキュリティのルール」のひな形

ルールよって情報漏洩が防げるわけではありませんが、ルールを作成する事で作成者およびメンバーが情報セキュリティについて知識が深まり結果としてリスクの低減になります。情報セキュリティについてはISMSISO 27001プライバシーマーク等の認証があります。

社内管理者のための規程について

最近USB管理規定、スマートフォン管理規定などの事例について質問を受けます。会社の規模にもよりますが兼任管理者や社内システム管理者がすくない事業所ほどしっかりした規程および規定で持込禁止にすれば管理は容易になります。 

ノートPC


たいていは情報システム管理規程という大きなくくりがあってその下にUSB管理規定、スマートフォン管理規定などを作成します。このように規定を作ると言うことは社内への持込を認める事になり持込基準、検査基準、持込一覧など会社の責任と管理に負荷がかかります。またUSBを介して侵入するウイルス、マルウエアやスマートフォンの不振なアプリに関しての知識、検疫する仕組みも必要になります。スマートフォンの代金を会社が負担しているような場合は必ず規定が必要になります。

そこでセキュリティ管理規定などで一括して持込を禁止するようにすることで管理が容易になります。持込を認めると言うことは一人でシステム管理しているような会社ではセキュリティリスクが増大します。と言うことでセキュリティ管理規定で以下の様な事柄をルール化します。
尚ノートパソコン、USB、スマートフォン等の紛失は重大なリスクとして認識します。

1.入退出管理 IDカード管理、部外者を入れないなど
2.電子媒体の管理 データの作成、保存、廃棄
3.パソコン・USB・周辺機器等の持出しと持込 
4.パソコン利用時のルール 利用時間、サポート時間も含める
5.携帯電話、スマートフォン、ノートPCの持出しと持込と利用について 紛失時の報告義務
6.ネットとメール
7.パスワード管理
8.緊急時の対応 感染時などの初期対応方法 報告義務
9.その他 システム利用時間など

社内システム管理者はスマートフォンを紛失した場合のシュミレーションをしておきます。
定期的なセキィリティ研修は実効性がありますので規定に入れると良いでしょう。

情報システム管理規程・規則・規定

会社の成長と共に社内システム管理者はそれなりの経験を積むとシステムに関するルール策定を起案するようになります。策定したルールはある程度の制限を与えますがこのルールによってシステム管理者やユーザーが守られることは確かです。これらは社内規程と呼ばれ社内のルール集みたいなものになります。会社もある程度の規模になりますと社長が何でも決めると言うのは現実的ではありません。権限委譲と相互牽制が重要になります。

社内調整

大きなくくりで「規程」その中に「規定」を作成します。例えば「情報システム管理規程」ではどこまで盛り込むのかの範囲を明確にします。また職務権限とリンクした決裁基準などを記載します。数ある社内規程間で漏れが無いかどうかなど調整する必要があります。「規定」では周辺機器取扱規定、USB使用規定、システム利用規定など細かなルールを作成します。このあたりは具体的ですので社内システム管理者の得意な分野になります。

「規程」では、目的、適用範囲、利用者の責務、管理者の権限、運用・保守、情報システム構築などに関することを記載し細かなルールは各規定に記載します。監査法人などに相談しますとひな形、テンプレートの紹介をしてくれるかも知れません。以前ある会社の規程へのアクセス分析をすると一位は「就業規則」で、システム関連規程へのアクセスはごくわずかでした。

【社内SE募集】A8.net
ブログ内検索フォーム
インデックス
人気ランキング参加してます
人気ブログランキングへ 
法人向けPC、サーバー、他
Translation