A.6.8 情報セキュリティ事象の報告
| 項目 | 内容 |
|---|---|
| 改訂日 | 2024.04.01 |
| 適用範囲 | 全社・全従業員 |
| 管理策番号 | A.6.8 |
| 分類 | 人的管理策 |
組織は、要員が認識した情報セキュリティ事象を、適切な連絡経路を通じて、時機を失せずに報告するための仕組みを提供しなければならない。
情報セキュリティ事象の適時の報告を支援するため。
実施の手引き
Section titled “実施の手引き”情報セキュリティ事象の報告の仕組みには、以下を含める必要がある。
- 報告すべき事象の定義
- 報告経路の明確化
- 報告手順の周知
- 報告者の保護
報告すべき事象
Section titled “報告すべき事象”| 事象 | 例 |
|---|---|
| セキュリティ侵害 | 不正アクセス、マルウェア感染 |
| 情報漏洩 | データの紛失、誤送信 |
| 物理的セキュリティ | 機器の紛失、盗難 |
| 方針違反 | 規程違反の発見 |
| 脆弱性 | セキュリティ上の弱点の発見 |
報告プロセス
Section titled “報告プロセス”| ステップ | 内容 |
|---|---|
| 発見 | 事象の発見、認識 |
| 報告 | 指定された連絡先への報告 |
| 受付 | 報告の受付、記録 |
| 初動対応 | 必要な初動対応の実施 |
| エスカレーション | 必要に応じた上位への報告 |
| 状況 | 報告先 |
|---|---|
| 通常 | 上長、システム管理者 |
| 緊急 | インシデント対応責任者 |
| 匿名 | 内部通報窓口 |
報告者の保護
Section titled “報告者の保護”- 善意の報告者への不利益取扱いの禁止
- 匿名報告の受付
- 報告者情報の保護
当社における実施状況
Section titled “当社における実施状況”当社では、情報セキュリティインシデントや脆弱性を発見した場合、速やかにインシデント対応責任者(CTO)に報告することを義務付けている。報告者が不利益を受けないよう配慮している。
-
- 情報セキュリティインシデント対応及び事業継続管理