最近USB管理規定、スマートフォン管理規定などの事例について質問を受けます。会社の規模にもよりますが兼任管理者や社内システム管理者がすくない事業所ほどしっかりした規程および規定で持込禁止にすれば管理は容易になります。
たいていは情報システム管理規程という大きなくくりがあってその下にUSB管理規定、スマートフォン管理規定などを作成します。このように規定を作ると言うことは社内への持込を認める事になり持込基準、検査基準、持込一覧など会社の責任と管理に負荷がかかります。またUSBを介して侵入するウイルス、マルウエアやスマートフォンの不振なアプリに関しての知識、検疫する仕組みも必要になります。スマートフォンの代金を会社が負担しているような場合は必ず規定が必要になります。
そこでセキュリティ管理規定などで一括して持込を禁止するようにすることで管理が容易になります。持込を認めると言うことは一人でシステム管理しているような会社ではセキュリティリスクが増大します。と言うことでセキュリティ管理規定で以下の様な事柄をルール化します。
尚ノートパソコン、USB、スマートフォン等の紛失は重大なリスクとして認識します。
1.入退出管理 IDカード管理、部外者を入れないなど
2.電子媒体の管理 データの作成、保存、廃棄
3.パソコン・USB・周辺機器等の持出しと持込
4.パソコン利用時のルール 利用時間、サポート時間も含める
5.携帯電話、スマートフォン、ノートPCの持出しと持込と利用について 紛失時の報告義務
6.ネットとメール
7.パスワード管理
8.緊急時の対応 感染時などの初期対応方法 報告義務
9.その他 システム利用時間など
社内システム管理者はスマートフォンを紛失した場合のシュミレーションをしておきます。
定期的なセキィリティ研修は実効性がありますので規定に入れると良いでしょう。
- 関連記事
-
