社内規定作成

現在私の会社では、情報部門がなく、総務部がシステム担当を兼務しているという状態です。
なので、情報分野において社内規定がないので、みんな好き勝手やっています。
で、セキュリティ上社内規定を作ろうということになり、私に作成しろと言われました。
とりあえず、今メールサーバーはプロバイダに借りている状態なので、自社で、メールサーバーを設けようかと思います。なので、社外でのメールの送受信を禁止しようかとも思います。
いきなり社内規定を作れといわれましても、何を禁止しようとか簡単に思い浮かびません。
で、皆様の企業の社内規定を参考にさせていただきたいので、よろしければ教えてください。また、こんな規定もいいですよ。とかアドバイスもいただけたら嬉しいです。どうか宜しくお願いします。
足りない質問内容があれば、ご指摘ください。
そのつど補足させていただきます。

No.4 ベストアンサー 回答者： noname#6217 回答日時： 2003/03/17 00:25

#3 です。

もう少し、具体的（例）に説明します。

管理者が守るべきセキュリティポリシーとして、

1.メールサーバは、自社運用とする。
2.必要なセキュリティ対策を実施する。
3.社外へのメール送受信は許可をしない。

ユーザが守るべきセキュリティポリシーとして、

1.社外へのメール送受信を禁止する。
2.違反した場合は、罰則に従う。

とし、
管理者は、メールサーバ上で社外へ送受信しない設定。
各ユーザは、社内のメール送受信のみ利用する。

ということになります。
それぞれ文書化して、それぞれ従うということになります。

ご参考です。

この回答へのお礼

Einaさんとても親切な回答ありがとうございます。
みなさんの回答を見て何かだんだん見えてきたような気がします。
色々調べて私の会社に合うセキュリティポリシーを少しづつ決めていこうと思います！

お礼日時：2003/03/17 14:51

No.3 回答者： noname#6217 回答日時： 2003/03/17 00:03

えーと。

ご質問の話は、「セキュリティポリシー」となるのではと思います。
日本の基準として、ガイドラインは存在します。
基本を押さえれば、難しくとも対応できるでしょう。

首総官邸：「情報セキュリティポリシーに関するガイドライン」
http://www.kantei.go.jp/jp/it/security/taisaku/g …

大事なことは、次の通りです。

・セキュリティポリシー委員会の発足
・社長または相当職を委員長とする。
・委員は人選（経営者と社員の混合）。
・指示はすべて、委員長からトップダウンで。
・委員会内で予算の決定（委員長の承認）。

※セキュリティは「経営の基本！」と認識すること。
→経済産業省指導要項。

※委員会には事務局や窓口を設置（部門混合）。
→対外的に活動する（広報が望ましい）。
→従業員への教育，啓蒙（総務が望ましい）。
→委員会へのアドバイザー（実務担当者が望ましい）。

などなど。
組織として確率することです。
セキュリティに関するすべてのことは、委員会で決めます。

では具体的にどうするかというと。
例えば、社長の名前と承認で「社外でのメールの送受信を禁止する！」と文書で通達すればいいのです。
１行で結構です。
それだけで立派な「セキュリティポリシー」です。
できるものを少しづつを規定していけばいいのです。
そしてある程度まとまったら、体系化します。
その繰り返しです。

考え方として。

・自分の言葉で、わかるように表現すること。
・できる範囲で規定すること。
→難しいものはできるようになってから＜絵に書いたモチにしない！

・何十行に渡って、規定する必要はない。
→結果、そうなった！　でいいのです。

といったところでしょうか？

「セキュリティポリシー」で注意しなければいけないのは、

・管理者が守るべきこと
・ユーザが守るべきこと。

を切り分けることです。
混同してては、方向性が定まりませんので。

セキュリティポリシーのトップとして、社長の名前と承認で、

（例）
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
××年××月××日
　　　　　　　　　　　　　　　　　　　　××会社
　　　　　　　　　　　　　　　　　　　　社長××

「セキュリティポリシー」

・全従業員は、各セキュリティポリシーを厳守のこと。
・本件、即日施行する。
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

と通達されてみてはどうでしょうか？
つまりは、そういうことなのです。

やり方はいろいろあります。
上記は、あくまでも例です。
自分の会社（文化）にあわせた手段や方法を取りましょう。

ご参考で。

参考URL：http://www.ipa.go.jp/security/fy12/contents/crac …

No.2 回答者： HAL007 回答日時： 2003/03/16 18:36

>>、今メールサーバーはプロバイダに借りている状態なので、自社で、メールサーバーを設けようかと思います。

>>なので、社外でのメールの送受信を禁止しようかとも思います。

これは、サーバーからインターネットメールの送受信にロックを掛けてしまえばよい事で規定では無くて方針では？

情報部門の規定と言うと
　・開発規定
　・運用規定
　・セキュリティ規定（別途ユーザーの規定も必要です）
　・etc・・・

セキュリティに絞って言うなら、
　・テスト時の本番データ使用禁止（顧客の情報保護及び自社データ保護）
　　や使用時のルール。
　・ＬＡＮ環境からインターネット接続ルール（原則禁止にし、使用する場合
　　の手続きや運用ルール。
　・ベンダー契約時の守秘義務条項を入れる。
　・パスワードの管理ルール。同一パスワードの長期使用禁止、強いパスワード
　　設定ルール（４桁の数字などは論外、８文字以上で必ず特殊文字を使う）

思い付くだけを列挙してみましたが、セキュリティーだけで２・３０ページ
にはなっています。

この回答への補足

レスありがとうございます。
＞セキュリティーだけで２・３０ページにはなっています。
確かに一から説明してくださいと言えば無理がありますよね・・・
情報ありがとうございます。
もっと色々調べてみます。

補足日時：2003/03/16 22:35

No.1 回答者： Hageoyadi 回答日時： 2003/03/16 18:21

こんなページは参考になりますまいか。

加えるなら、IEとOEを使用禁止にするとか。

参考URL：http://www.iajapan.org/rule/rule4business/,http: …

この回答への補足

レスありがとうございます。
こんなサイトがあるなんて初めてしりました。
参考にさせていただきます。
情報ありがとうございました。

補足日時：2003/03/16 22:38