情報セキュリティのルール作りのために、ISMS(ISO27000シリーズ)を使えば、情報セキュリティの網をかけられると考え、20名規模のモノづくりメーカーを想定し、情報セキュリティマニュアルを作りました。
しかしながら、形にはなったものの見直してみると、我ながら分かりにくい、手直しを始めてみると「ほぼ作り直さないとだめだ」となり先送りを何度か続けていました。
時は過ぎ、以下のIPA(独立行政法人 情報処理推進機構)の「中小企業の情報セキュリティ対策ガイドライン」にそって作ることにしました。
中小企業の情報セキュリティ対策ガイドライン
「中小企業の情報セキュリティガイドライン」は、IPA(独立行政法人 情報処理推進機構)が作成した、中小企業向けの情報セキュリティ対策のためのガイドラインです。
「1人情シス」など人材の制約が厳しい企業にとって、ISMS(ISO27000シリーズ)よりも情報セキュリティ対策に取り組みやすくなっています。
情報セキュリティ対策の進め方
経営者が認識し自ら考えなければならないこと
情報セキュリティによる損害(不利益)、情報セキュリティに関する経営者の責任(法的責任、関係者や社会に対する責任)についての説明と、経営者がやらなければならない、認識すべき3原則と実行すべき重要7項目についてまとめています。
情報セキュリティ対策(重要7項目)の概要
経営者及び経営者の指示を受け、情報セキュリティ対策を段階的に進めていきます。
重要7項目の取組みと実践内容との関係を以下に示します。
まずは、できることから始め、組織的な取り組みまでを目標に進めます。
実践編 |
取組1 |
取組2 |
取組3 |
取組4 |
取組5 |
取組5 |
取組6 |
取組7 |
---|---|---|---|---|---|---|---|---|
1.できるところから始める |
||||||||
①情報セキュリティ5か条 |
◯ |
◯ |
||||||
2.組織的な取り組みを開始する |
||||||||
①情報セキュリティ基本方針の作成と周知 |
◯ |
|||||||
②実施状況の把握 |
◯ |
|||||||
③対策の決定と周知 |
◯ |
|||||||
3.本格的に取り組む |
||||||||
①管理体制の構築 |
◯ |
|||||||
②IT利活用方針と情報セキュリティの予算化 |
◯ |
|||||||
③情報セキュリティ規定の作成 |
◯ |
|||||||
④受託時の対策 |
◯ |
|||||||
⑤点検と改善 |
◯ |
|||||||
4.より強固にするための方策 |
||||||||
①情報収集と共有 |
◯ |
|||||||
②ウェブサイトの情報セキュリティ |
◯ |
|||||||
③クラウドサービスの情報セキュリティ |
◯ |
|||||||
④情報セキュリティサービスの活用 |
◯ |
|||||||
⑤技術的対策例と活用 |
◯ |
|||||||
⑥詳細リスク分析の実施方法 |
◯ |
情報セキュリティについての自社診断と情報セキュリティ基本方針
情報セキュリティ方針をいきなり作るのはひな形(サンプル)があっても簡単ではありません。
まずは、情報セキュリティ方針は形から、情報セキュリティ対策を進めるために、自社診断で現在の状況を知るところから始めます。
「情報セキュリティ5か条」から現状確認と基本的な対策を始める
「情報セキュリティ5か条」から現在の情報セキュリティの状況を知り、基本的な対策を進めます。
情報セキュリティ対策
20名規模のモノづくりメーカーを想定して、基本的対策、従業員としての対策、組織(会社)としての対策について説明します。
基本的対策
従業員としての対策
組織(会社)としての対策
クラウドサービスの選定・運用
テレワークに限らず、クラウドサービスは会社でも個人でも利用しています。
ここでは、クラウドサービスを安全に利用するための選定、運用、セキュリティ管理についてまとめています。
情報セキュリティ対策の継続と改善
ここまで、段階的に情報セキュリティ対策を進めてきました。
ここからは、
- 日々の業務の中で定期的に振り返り、
- 改善すべきことは修正し、
- 不足していることは追加していく。
ことで、
「自社に必要かつ有効な情報セキュリティ体制」
を作り上げていくことができると考えています。
PDCAに悩むような場合には、以下の記事をご参照ください。