組織的な取り組みをはじめよう!情報セキュリティ
私の担当回では、情報セキュリティに関する記事を提供しています。
この第5回目は「組織的な取り組みをはじめよう」です。
IPA(独立行政法人情報処理推進機構)は、中小企業の情報セキュリティ対策に関する検討を行い、より具体的な対策を示す「中小企業の情報セキュリティ対策ガイドライン」を公開しています。最新版である第3.1版では新型コロナウイルス感染防止策によるテレワークの普及や、DX 推進の両輪としての情報セキュリティ対策といった社会動向の変化などを踏まえ、具体的な対応策を盛り込むための改訂が行われました。
「中小企業の情報セキュリティ対策ガイドライン」から、「組織的な取り組みの開始」について解説します。
【組織的な取り組みのステップ】
ガイドラインでは、「組織的な取り組みの開始」として、以下のステップを挙げています。
(1)情報セキュリティ基本方針の作成と周知
経営者が情報セキュリティに関する基本方針を定めて周知します。基本方針には、管理体制を整備することや従業員の取り組み、セキュリティ対策を実施することなどを宣言します。
基本方針は、後に参照や見直しをするためにも文書化することをお勧めします。サンプル文書(https://www.ipa.go.jp/security/guide/sme/ug65p90000019cbk-att/000072146.docx)をIPAが提供しているので、これを基にして、自社に適した基本方針を作成すると良いでしょう。
この基本方針は従業員が情報セキュリティ対策に取り組む場合の指針となるものであり、また、自社の取り組みを関係者に対して表明するものですので、作成した文書を社内に掲示するなどして、従業員や顧客などの関係者に共有し、認識出来るようにしましょう。
(2)実施状況の把握
現在の情報セキュリティ対策の実施状況を調査し、把握します。
調査結果は次の対策の決定のステップのための資料となります。情報機器のOSやソフトウェアの更新の状況や社内の無線LANの設定状況など、考えられるセキュリティ項目について自社が対策を実施しているかどうかをチェックしましょう。IPAが公開している自社診断ツール( https://www.ipa.go.jp/security/guide/sme/ug65p90000019cbk-att/000055848.pdf )などを利用すると網羅的に自社の情報セキュリティ対策の実施状況を確認できます。
現場の責任者や担当者など、実施状況が分かる人に記入をお願いして、正確な情報を集めるようにしましょう。
(3)対策の決定と周知
情報セキュリティ対策の実施状況を分析して、実施すべき情報セキュリティ対策を検討・決定します。検討・決定は、以下のような体制と順序で行うと効果的です。
①対策の検討と決定は、責任者・担当者と経営者が行う
②実施状況が十分でない、あるいは実施していない、実施状況が把握できないセキュリティ項目について、考えられる被害・事故を想定し、それらの事象を防止するための対策を検討する
③職場環境や業務に適した対策とするため、場合によっては、従業員の意見を聞く
先に取り上げた自社診断ツールには、解説編として、被害・事故の想定や対策例も示されていますので、そちらを参考にすると良いでしょう。
対策が決まったら、従業員が実行するべき事項を周知します。従業員が対応に困った場合にいつでも参照できるようにハンドブックという形式にして、従業員に配布するのが望ましいです。そのためのひな型( https://www.ipa.go.jp/security/guide/sme/ug65p90000019cbk-att/000055529.pptx ) もIPAより提供されています。
このようなステップで組織的な情報セキュリティ対策を開始した後は、決定した取り組みを継続的に実施していくことが必要となります。そのための仕組みの作り方、推進の仕方については、次回の担当回でお話いたします。
「組織的な取り組みの開始」のステップについて、解説いたしました。いかがでしょうか?
具体的な対策の部分では、経営者や責任者だけでは判断に困る点や見当が難しい点が出てくるかもしれません。そんな時はITコーディネーターなどの専門家に相談してみるのも良いと思います。ITC-EXPERTでもお問い合わせフォーム(https://itc-expert.or.jp/contact/)を準備しております。是非ともご活用ください。
参考:IPA『中小企業の情報セキュリティ対策ガイドライン第3.1版』( https://www.ipa.go.jp/security/guide/sme/ug65p90000019cbk-att/000055520.pdf)
(ITコーディネータ 岩下 洋文)