データ復旧業務におけるセキュリティポリシー
1. 物理的セキュリティ
- データ復旧作業エリアへのアクセスを制限し、認証された従業員のみが立ち入れるようにする。
- セキュリティカメラや入退室管理システムを設置し、記録を保持。
- 機器やデータを安全に保管するため、ロック可能なキャビネットや専用保管庫を使用。
2. データ保護
- データ復旧作業中に取り扱う顧客データは個別に保管。
- 顧客から提供されたデータは、復旧業務終了後、合意された期間内に適切に削除。
- 顧客データにアクセス可能な範囲を、必要最低限の従業員に限定。
3. ネットワークセキュリティ
- 作業用のネットワークは防火壁(ファイアウォール)で保護。
- セキュリティソフトウェアを最新の状態に保ち、定期的なウイルススキャンを実施。
4. 情報漏洩防止
- 従業員に対して、顧客データの取扱いに関する機密保持契約(NDA)を締結。
- 内部および外部の不正行為を防ぐため、アクセスログを定期的に監査。
- 機密情報の取り扱いについて、従業員向けトレーニングを定期的に実施。
5. 権限管理
- 従業員の役割に応じたアクセス権限を付与し、不必要な権限の付与を防止。
- アクセス権限の見直しを定期的に実施。
- 従業員の退職時には、速やかに権限を無効化。
6. インシデント対応
- データ漏洩や不正アクセスなどのセキュリティインシデントが発生した場合の対応プロセスを策定。
- インシデント発生時には、顧客に迅速に報告し、原因調査と再発防止策を実施。
- 定期的にセキュリティインシデント対応訓練を実施。
7. 顧客との合意
- データ復旧業務におけるデータの取り扱いについて、顧客と明確な契約を結ぶ。
- 復旧後のデータ提供方法について、顧客と事前に合意。
- 業務範囲外のデータ利用を禁止。
8. 第三者サービス利用の管理
- 外部のクラウドサービスやデータ転送サービスを利用する場合、顧客の許可を取得。
- 第三者サービスのセキュリティ基準を事前に確認し、信頼できるものを採用。