企業のセキュリティ状態を診断するための、簡単なチェックリストをつくりました。参考にしてください。
セキュリティ診断チェックリスト
| 運用面 | ||
| プライバシーポリシーの制定 | 個人情報を保護するためのプライバシーポリシーの制定と掲示を行っている。 | |
| プライバシーポリシーの運用 | プライバシーポリシーについて、定期的な現場監査と社員教育を行っている。 | |
| セキュリティエリアの管理 | サーバー・ルーム、執務室、応接室など、必要とされるセキュリティ・レベルに応じてセキュリティ・エリアの区別を行っている。 | |
| 入退室管理 | 高セキュリティ・エリアについては、フロア扉をセキュリティ・カードや生体認証によってロックし、入退室管理を行っている。 | |
| 来訪者の記録 | 社外からの来訪者については、来訪者記録をとり、応接室で接している。 | |
| 名刺の管理 | 取引先の名刺は、鍵のかかる引き出しや書庫に保管している。名刺をOCR等によって電子化している場合は、セキュアなサーバで一元管理している。 | |
| 文書・メディアの管理手順 | 個人情報や機密情報が掲載されている文書やメディアの閲覧、更新、持ち出しなどに関して、管理簿、アクセス制限、ログ管理など実施している。 | |
| 文書・メディアの廃棄手順 | 個人情報や機密情報が掲載されている文書やメディアの廃棄のためにシュレッダーや溶解処理を利用した廃棄手順が定められており、手順にしたがった廃棄処理が行われている。 | |
| 個人情報・機密情報授受記録 | 個人情報や機密情報の入った文書やメディアの授受を記録し、相手先にも確認をとっている。 | |
| ノートPCの持ち運び | ノートPCの持込、持ち出しに関して、情報保護のためのルール化がされている。 | |
| 外部委託先の管理 | 個人情報や機密情報の共有を行う外部委託先について、選定基準を設け、機密保持契約を交わしている。 | |
| 社員への誓約書 | 役員を含む全従業員に対し、個人情報、機密情報の保護に関する誓約を書面で取り交わしている。 | |
| 社員教育の実施 | 役員を含む全従業員に対し、機密情報や個人情報保護の重要性や漏洩リスク、管理運用方法についての教育などを定期的に行っている。 | |
| 技術面 | ||
| サーバ管理 | 個人情報や機密情報を保管・利用できるセキュアなサーバを設置している。 | |
| ログ管理 | セキュアなサーバに対するすべてのアクセス・ログをとり、定期的にチェックを行っている。 | |
| ウィルス対策ソフトの導入 | 全PCにウィルス対策ソフトを導入し、常に最新のウイルス・パターンを当てている。最新パターンが当たっていないPCについては、社内ネットワークに参加させないなどの対策がとられていることが望ましい。 | |
| パッチ当て | OSおよびアプリケーションソフトウェアに対し、常に最新のパッチを当てている。最新のパッチが当たっていないPCについては、社内ネットワークに参加させないなどの対策がとられていることが望ましい。 | |
| 大量印字の制約 | 個人情報や機密情報を一度にプリントアウトできる量を制限している。 | |
| SSLの導入 | 公開サーバに対してSSLを導入している。 | |
| メールの暗号化 | 個人情報や機密情報をメールで送信する場合、必要に応じて暗号化により漏洩を防いでいる。 | |
| ファイアウォールの設置 | 社内ネットワークおよび外部のレンタルサーバを含め、これらへのアクセスを制御するファイアウォールの設置が行われている。 | |
セキュアなサーバは、次の条件を満たす。アクセスするために職員ID、パスワードを要求する。アクセスログをとっている。社外からの接続ができない。ファイルは暗号化されており、たとえディスクが抜き取られた場合でも情報を読み取ることができない。CD-RやUSBメモリなどの媒体へデータをコピーすることができない。
※メディア
参考URL
- 官公庁4サイト運営に欠陥・ネット犯罪に悪用の恐れ(ぱふぅ家の時事ニュース)
- 「fdma.go.jp」についての指摘(中京大学・鈴木常彦助教授)
- ドメイン名の登録と DNS サーバの設定に関する注意喚起(IPA)
- DNS入門
| 2005年11月21日更新 | ||
| <<前へ | <目次> | 次へ>> |
| 戻る | 【関連ページ】 | |