ISM 风险管理指导基准

ISM风险管理指导基准松下电器产业株式会社0松下集团ISM风险管理指导基准2005年6月1日编制2010年4月1日修订松下电器产业株式会社信息安全本部ISM风险管理指导基准松下电器产业株式会社1－目录－第1章本书的定位和构成....................................................................................................21.1本指导基准的目的.......................................................................................................21.2信息安全管理的规程体系............................................................................................21.3本指导基准的对象.......................................................................................................2第2章全球ＩＳＭ规程体系中的风险管理方法........................................................................32.1控制措施和风险的接受................................................................................................32.2各公司的关于控制措施实施的责任..............................................................................4第3章追加控制措施的制定.................................................................................................53.1控制措施的追加..........................................................................................................5第4章关于昀低基准控制措施的风险接受...........................................................................64.1风险接受的条件..........................................................................................................64.2风险的接受方法..........................................................................................................64.3风险的接受期间..........................................................................................................6第5章附则..........................................................................................................................75.1修订和废除.................................................................................................................75.2适用日期.....................................................................................................................7ISM风险管理指导基准松下电器产业株式会社2第1章本书的定位和构成1.1本指导基准的目的本指导基准，将在全球ISM方针・基准的框架下保护松下集团的整体信息的对策，按照所持有信息的重要性以及安全上所存在的威胁及脆弱性，实现昀合理而有效的实施为目的，具体规定了符合各事业领域公司或地域特征的管理对策(以下称作「控制措施」）的制定方法、或无法实施规定的控制措施而需要接受风险时的方法等。1.2信息安全管理的规程体系本书属于，全球ISM基准的第1.2节「信息安全管理的规程体系」中所规定的指导基准层次的文件。1.3本指导基准的对象本指导基准，以松下集团里负责信息安全推进管理工作的担当人员为对象而制定。ISM风险管理指导基准松下电器产业株式会社3第2章全球ＩＳＭ规程体系中的风险管理方法2.1控制措施和风险的接受2.1.1控制措施的类别全球ＩＳＭ规程体系中规定的各公司必须实施的相关信息安全控制措施，具体分为下述2类。1)昀低基准控制措施松下集团通用的、不论属于哪个事业领域公司・地域的公司(所有公司)都应该达成的控制措施称作昀低基准控制措施。2)事业领域公司／地域的追加控制措施1由于特殊的事业特征或地域特征，该当事业领域公司或地域内的公司在昀低基准控制措施以外，还需要达成的其他控制措施称作事业领域公司追加控制措施・地域追加控制措施。事业领域公司追加的控制措施由事业领域总公司、地域追加的控制措施由地域统括公司、按照Appendix中记述的方法具体制定。2.1.2各公司的目标各公司必须达成的控制措施，如图2-1所示，包括昀低基准控制措施和该公司所属的事业领域公司以及地域的追加控制措施。图2-11对于追加控制措施，由信息安全本部了解其追加的具体状况，并研讨是否应该追加到昀低基准控制措施上。其特殊性被认可、判断为不该追加到昀低基准控制措施上时，将作为事业领域公司/地域的追加控制措施，第二年以后也分别追加到事业领域公司・地域的控制措施中。ISM风险管理指导基准松下电器产业株式会社42.1.3控制措施的管理各公司或事业领域总公司以及地域统括公司，对于各控制措施，具体实施下述事项。1)昀低基准控制措施在公司，关于昀低基准控制措施的实施状况，通过事业领域总公司以及地域统括公司向信息安全本部报告。（参照图2-2）另外，发现了未实施项目时，首先要努力改善付诸实施。经过改善依然无法解决时，仅限有正当的理由，方可按照第4章规定的流程实行风险接受。图2-22)事业领域公司追加控制措施以及地域追加控制措施事业领域总公司以及地域统括公司实行控制措施的追加时，遵照第3章中所规定的具体步骤。2.2各公司的关于控制措施实施的责任事业领域总公司，不论昀低基准控制措施、事业领域公司追加控制措施、地域追加控制措施等的类别如何，对旗下各公司都负有促使其实施应该达成的控制措施的责任。ISM风险管理指导基准松下电器产业株式会社5第3章追加控制措施的制定3.1控制措施的追加依据地域或事业特征等，仅仅实施昀低基准控制措施无法充分保障安全管理时，事业领域总公司以及地域统括公司应该制定在该当事业领域公司・地域内实施的追加控制措施。列举下述的追加控制措施的范例。•为了保护重要的生产设备，实施在入场时通过金属探测器进行检查•为了对应相关个人信息保护的法令，制定个人信息保护指导基准、完善寄存个人信息的处理规程•为了保护重要的密码钥匙，实施密码钥匙管理的站点运营ISM风险管理指导基准松下电器产业株式会社6第4章有关昀低基准控制措施的风险接受在本章里具体规定，当无法实施昀低基准控制措施时所需要的风险接受。4.1风险接受的条件在制定改善对策的实施计划时，只有有正当的理由的条件下，方可实行风险接受。4.2风险的接受方法无法实施昀低基准控制措施时，事业领域公司CSO务必明确记述具体的理由或影响、代替对策的有无等事项后，实行风险接受。具体接受风险时，须向信息安全本部报告接受风险的事实。4.3风险的接受期间既使是遵照前面章节规定实行的风险接受，该当风险接受的有效期限也只有1年时间。在此期间，风险接受的申请者务必采取相应对策，达到1年之后可以实施该当的控制措施。ISM风险管理指导基准松下电器产业株式会社7第5章附则5.1修订和废除本全球ISM风险管理指导基准的修订和废除，由信息安全本部起草，获得信息安全本部长的批准后实行。5.2适用日期本全球ISM风险管理指导基准，自2010年4月1日起适用。