情報セキュリティに関する人的リソース管理策(A.6系列)
令和7年8月29日|p.126
左の本文を選ぶと、右側の官報原文画像で該当箇所を照合できます。
921 治961 月 月 月 月 月 月 日
6a-6.4懲戒手続
管理策:情報セキュリティ方針違反を犯した要員及びその他の関連する利害関係者に対して処
置をとるために、懲戒手続を正式に定め、伝達する。
目的:要員及びその他の関連する利害関係者が情報セキュリティ方針違反の結果を理解する
こと、違反を抑止すること、及びそれを犯した要員及びその他の関連する利害関係者
を適切に扱うことを確実にするため。
詳細管理策
60-6.4.1熱成手続は、情報セキュリティ方針違反が生じたことの事前の確認
を待って開始する。
a-6.4.2正式な懲戒手続は、次のような要素を考慮した段階別の対応を定め
る。
a)違反の内容(誰が、何を、いつ、どのように)及び重大さ、
並びにその結果
b)違反が意図的である(悪意がある)か,又は意図的でない(偶
発的)か。
c)最初の違反か又は繰り返されたものか。
d)違反者は,適切に教育・訓練されていたかどうか。
6a-6.4.3懲戒手続の対応は、関連する法令、規制、契約及び事業上の要求事
項、並びに必要に応じてその他の要素を考慮に入れる。
懲戒手続を、要員及びその他の関連する利害関係者が情報セキュリ
ティ方針、トピック固有の方針、及び情報セキュリティの手順に違
反することを防ぐための抑止力として使う。
(6a-6.4.4参考)意図的な情報セキュリティ方針への違反には,直ちに処置をとるこ
とが求められる場合がある。
6a-6.5雇用の終了又は変更後の責任
管理策:雇用の終了又は変更の後もなお有効な情報セキュリティに関する責任及び義務を定
め、施行し、関連する要員及びその他の利害関係者に伝達する。
目的:雇用又は契約を変更又は終了する手続の一部として、組織の利益を保護するため。
詳細管理策
6a-6.5.1
・雇用の終了又は変更を管理する手続では、終了又は変更後にどの情
報セキュリティの責任及び義務を引き続き有効とすることが望まし
いかを定める。
雇用の終了又は変更後の情報セキュリティの責任及び義務に、情報
の秘密保持、知的財産及び取得したその他の知識、並びにその他の
秘密保持契約に含まれる責任を含める。
雇用又は契約の終了後も引き続き有効な責任及び義務は、その個人
の雇用条件、契約又は合意に含める。
6a-6.5.3参考)個人の雇用の終了後、定められた期間継続するその他の契約又は合
意も、情報セキュリティの責任を含む場合がある。
Sa-6.5.4責任又は雇用の変更は、現在の責任又は雇用の終了と新しい責任又
は雇用の開始との組合せとして管理する。
職務を去る又は職務が変わる個人がもつ情報セキュリティの役割及
び責任を特定し、別の個人に移す。
6a-6.5.6
変更及び運用の手順を要員、その他の利害関係者及び関連する連絡
先担当者に伝達するための手続を確立する。
6a-6.5.7 雇用の終了又は変更の手続は、供給者の要員、供給者との契約若し
くは組織との仕事の終了が生じる場合、又は組織内で仕事の変更が
ある場合に、外部の要員(すなわち、供給者)にも適用する。
6a-6.6秘密保持契約又は守秘義務契約
管理策:情報保護に対する組織のニーズを反映する秘密保持契約又は守秘義務契約は、特定し、
文書化し、定常的にレビューし、要員及びその他の関連する利害関係者が署名する。
目的:要員又は外部の関係者がアクセスできる情報の秘密保持のため,
詳細管理策
6a-6.6.1秘密保持契約又は守秘義務契約には、法的に強制できる表現を用い
て、秘密情報を保護するための要求事項を取り上げる。
秘密保持契約又は守秘義務契約は、利害関係者及び組織の要員との
間で締結される。
6a-6.6.3組織の情報セキュリティ要求事項に基づいて,契約の条件は、取り
扱われる情報の種類、その分類レベル、その使用及び当事者に許可
されるアクセスを考慮して決定する。
6a-6.6.4
秘密保持契約又は守秘義務契約に対する要求事項を特定するために、
次の要素を考慮する。
a)保護する情報の定義
b)秘密を無期限に又は情報が一般公開されるまで保持する必要
がある場合も含めた、契約の有効期間
c)契約終了時に要求する処置
d)認可されていない情報開示を避けるための、署名者の責任及
び行為
e)情報、企業秘密及び知的財産の帰属、並びにこれらと秘密情
報の保護との関係
f)秘密情報の許可された利用範囲、及び情報を利用する署名者
の権利
g)高度に取扱いに慎重を要する状況における、秘密情報に関わ
る行為の監査及び監視の権利
h)認可されていない開示又は秘密情報漏えいの、通知及び報告
のプロセス
i)契約終了時における情報の返却又は破棄に関する条件
)契約の不順守が発生した場合に講じるべき処置
6a-6.6.5
組織は、適用される法域における秘密保持契約又は守秘義務契約の
順守を考慮に入れる。
秘密保持契約又は守秘義務契約に関する要求事項は、定期的に及び
これら要求に影響する変化が発生した場合に、レビューする。
6a-6.7リモートワーク
管理策:組織の構外でアクセス、処理又は保存される情報を保護するために、要員が遠隔で作
業をする場合のセキュリティ対策を実施する。
目的:要員が遠隔で作業をする場合の情報セキュリティを確実にするため。
詳細管理策
(Sa-6.7参考)リモートワークは、組織の構外から組織の要員が作業し、ハードコ
ピーで又はICT機器を通じて電子的に情報にアクセスするときに
常に行われる。リモートワーク環境は、"テレワーキング"、"コン
ピュータ端末を用いた在宅勤務(telecommuting)"、"柔軟な作業場
(flexible workplace)"、"仮想的な作業環境"、及び"遠隔保守"と
呼ばれる環境を含んでいる。