他の教育実施記録では有効性評価がされているか、いくつか見せていただけますか?
はい、どうぞ。・・・大丈夫そうだね、良かった。
設問4 ここで取り上げられた「不適合指摘」の内容ともっとも関連付けられるISMSマニュアルあるいは情報セキュリティ管理規則の箇条番号を枠内に記入して、確定ボタンを押して下さい。
ISMSマニュアル(抜粋)
管理部は当社全社員に対して、人材サービス事業部は派遣契約者に対して、以下のことを行う。
a) 情報セキュリティパフォーマンスを維持するためのISMS教育を年1回実施する。新入社員及び新規派遣契約者には契約締結時に実施する。
b) 当社マニュアル及び規則等の改定や重要な法令改正、その他当社ISMSに影響を与える変更があった場合は、その都度、教育が必要な要員に対し理解させる。
c) 有効性評価のため、教育後3か月以内に業務での適用状況をアンケート調査する。
d) 教育後は「教育実施記録」を起票し保存、有効性評価結果はその記録に追記する。
8.2 情報セキュリティリスクアセスメント
各部は、毎年4月に情報セキュリティリスクアセスメントを実施する。これ以外にも重大な変更・変化が生じた場合には、その都度情報セキュリティリスクアセスメントを実施する。
実施したアセスメント結果は「リスクアセスメントシート(情報)」に記入し保存する。
8.3 情報セキュリティリスク対応
各部は、8.2のアセスメント結果に基づき定めたリスク対応計画を実施する。
実施したリスク対応結果は「リスク対応表(情報)」に記入し保存する。
A-5-1 購買・業務委託
各部は、外部から製品・サービス供給を受ける又は業務委託を行う場合「購買・外部委託規程」に基づき、情報セキュリティリスクの管理を行い、委託先ごとに情報セキュリティ要求事項を定め、合意し、契約する。
A-5-2 インシデント管理
各部は、情報セキュリティインシデントが発生した場合、速やかにISMS管理責任者に報告する。その後は「インシデント管理手順」に従って対応する。
A-5-3 PIIの保護
管理部および人材サービス事業部は、採用・契約時に授受されるPII(個人識別可能情報)が含まれる履歴書・経歴書・契約書は、高機密文書として権限の与えられた要員のみがアクセスできる鍵付きの機密ロッカー庫に保管する。
A-6-1 リモートワーク
外出先や在宅での業務は、管理部に申請して機能を制限されたモバイルPCの貸与を受けることにより承認される。管理部は、認められた要員に対して「リモート就業規則」に従って勤怠管理を行う。
A-7-1 セキュリティエリア区分
当社の情報セキュリティエリアは以下のレベルに区分されている。当社の情報資産は、その機密レベルに応じて適切に管理する。
・レベル1:共用エリア(受付入口、打合せコーナ―)
・レベル2:業務エリア(事務所内職員机)
・レベル3:管理エリア(事務所内サーバ室、機密ロッカー庫、社長室)
A-8-1 モバイルPCの利用
モバイルPCを貸与された要員は、「モバイルPC利用規則」を順守した行動に努める。特に外出時は電源を入れた状態でPCから離れてはならず、周囲に画面表示内容を知られてはならない。