報告範囲も権限も明確に、参考資料をぜひ参考になさってください

カテゴリー: 教育情報セキュリティポリシーに関するガイドライン   パーマリンク

みなさんこんにちは。長らくお付き合いいただきました
「教育情報セキュリティポリシーに関するガイドライン」http://www.mext.go.jp/a_menu/shotou/zyouhou/detail/__icsFiles/afieldfile/2017/10/18/1397369.pdfについてのご説明も本日で最後です。
163ページあるボリュームの資料ですが、端から端まで非常に重要なことがつまっています。
それだけ、セキュリティに関する課題は喫緊の課題だということがいえますね。
とはいえ、各自治体によって実情が違うと思います。既に、教育情報セキュリティポリシーが策定されており、改訂のタイミングで見直すために必要な方もいれば、これから策定するために参考にしたい方もいらっしゃるでしょう。

参考資料、例文イメージ

本日は「参考1 情報セキュリティ対策基準の例文 参考2 権限・責任等一覧表」の部分をご説明したいと思います。

 必要な内容は各章で述べられてきましたので、それをいざ対策基準としてきちんと文書にしよう、というときに非常に便利に使うことができます。
 ご自分の自治体のセキュリティ対策基準と、この例文を手元に置いて教育委員会としてのセキュリティ再作基準を作成、改訂するのは総点検にもなり非常にやりやすいのではないでしょうか。
 まず、全文を参考にし、最初から見直していきます。
 対象範囲の部分の「内部部局」については、各自治体によって「〇課〇施設」と書くと決まっていたり、具体的に教育委員会のどの範囲、と書いた方が良い自治体もあるでしょう。
 情報資産の範囲についても、紙を含めるのが重要ですが、たとえば「校務支援システムを導入しているが指導要録はまだ紙のままである」場合についてどうするのか、一文にするのかもっと違う風にするのか等、もとになるテキストがあるだけで検討範囲が限定され、非常に考えやすくなるわけです。
 特に、「推奨事項」と入っている文章については「定められるなら定めたほうが良いけれど、段階的にやっていけるといいから無理な場合はこれを実現できるようにやっていきましょう」というものになりますので、段階を踏んだ改定の計画も立てやすくなりますし、本当はこれくらいやらなければならないですが今のところここまでで手を打ちませんか、という風にも使えると思います。
 何度も申し上げている通りセキュリティは「できていたことをできなくする」と捉えられがちです。不便になることは間違いありませんが、それがなぜそうなのか、結局子供たちや教員自身を守るために必要だ、ということを全員に理解してもらうことが理想です。ただ、人間の集団全員に理解してもらう、ということはなかなか難しい命題ですので、様々な手段を駆使する必要があり、その一つとして使える、ということですね。

 120ページには情報資産の分類方法が示されています。これを参考に、ご自分の自治体で取り扱っているものを当てはめておくと、問い合わせがきたときに同じ基準で答えることができ、とても楽ですね。
 指導要録なら機密性3、完全性2B、可用性2Bの最高ランクの情報資産である、という風に当てはめておいてください。

 また、154ページからの権限・責任一覧表はとても明確です。
 これを参考にしておけば「どこまで誰に報告してよいかわからなかったから報告が遅れた」という理由での初動の遅れはなくなるでしょう。
 権限または責任を有しているもの、報告の必要があるもの、許可を与えるもの、承認を与えるもの、とそれぞれの役割が明確なのでどのようなインシデントで誰に報告するか、ということや、監査を計画・立案し、実行するのはだれか、など、一から考えるととても大変な内容が多く定義されています。是非とも参考になさっていただければと思います。

 長らく情報セキュリティポリシーガイドラインをご説明させていただきました。
 取り掛かり、きっかけとして皆さんのお仕事のお役に少しでも立てれば幸いです。

 来週からは先ごろ発表された「ICT支援員の育成・確保のための調査研究事業」についてご説明させていただきます