情報セキュリティハンドブック

情報セキュリティハンドブック情報セキュリティハンドブック

情報セキュリティのルール作りのために、ISMS(ISO27000シリーズ)を使えば、情報セキュリティの網をかけられると考え、20名規模のモノづくりメーカーを想定し、情報セキュリティマニュアルを作りました。

しかしながら、形にはなったものの見直してみると、我ながら分かりにくい、手直しを始めてみると「ほぼ作り直さないとだめだ」となり先送りを何度か続けていました。

時は過ぎ、以下のIPA(独立行政法人 情報処理推進機構)の「中小企業の情報セキュリティ対策ガイドライン」にそって作ることにしました。

中小企業の情報セキュリティ対策ガイドライン:IPA 独立行政法人 情報処理推進機構
情報セキュリティ関連情報のユーザー、管理者、技術者に向けた発信、その前提となる情報収集、調査分析、研究開発、技術評価等の実施
スポンサーリンク

中小企業の情報セキュリティ対策ガイドライン

「中小企業の情報セキュリティガイドライン」は、IPA(独立行政法人 情報処理推進機構)が作成した、中小企業向けの情報セキュリティ対策のためのガイドラインです。

「1人情シス」など人材の制約が厳しい企業にとって、ISMS(ISO27000シリーズ)よりも情報セキュリティ対策に取り組みやすくなっています。

IPAの中小企業の情報セキュリティ対策ガイドラインと今後の進め方
ISMS(ISO27000シリーズ)で20名規模のモノづくり企業のルールを作りましたが分かりやすいとは思えず悩んでいました。IPA(情報処理推進機構)の情報セキュリティ対策ガイドラインを利用した情報セキュリティ対策の進め方をまとめています。

情報セキュリティ対策の進め方

経営者が認識し自ら考えなければならないこと

情報セキュリティによる損害(不利益)、情報セキュリティに関する経営者の責任(法的責任、関係者や社会に対する責任)についての説明と、経営者がやらなければならない、認識すべき3原則と実行すべき重要7項目についてまとめています。

情報セキュリティ対策:経営者(責任者)が認識し自ら考えること
今や経営者や責任者が「情報セキュリティなんて分からない」と言ってすむ時代ではありません。会社にとって重要な情報のセキュリティ対策について、中小企業の経営者が認識し自ら考えること、経営者が認識すべき3原則と実行すべき7項目について説明します。

情報セキュリティ対策(重要7項目)の概要

経営者及び経営者の指示を受け、情報セキュリティ対策を段階的に進めていきます。

重要7項目の取組みと実践内容との関係を以下に示します。

まずは、できることから始め、組織的な取り組みまでを目標に進めます。

実践編

取組1

取組2

取組3

取組4

取組5

取組5

取組6

取組7

1.できるところから始める

        

①情報セキュリティ5か条

  

    

2.組織的な取り組みを開始する

        

①情報セキュリティ基本方針の作成と周知

       

②実施状況の把握

  

     

③対策の決定と周知

  

     

3.本格的に取り組む

        

①管理体制の構築

 

      

②IT利活用方針と情報セキュリティの予算化

    

   

③情報セキュリティ規定の作成

 

      

④受託時の対策

  

     

⑤点検と改善

      

 

4.より強固にするための方策

        

①情報収集と共有

    

   

②ウェブサイトの情報セキュリティ

       

③クラウドサービスの情報セキュリティ

    

   

④情報セキュリティサービスの活用

    

   

⑤技術的対策例と活用

    

   

⑥詳細リスク分析の実施方法

    

   

情報セキュリティについての自社診断と情報セキュリティ基本方針

情報セキュリティ方針をいきなり作るのはひな形(サンプル)があっても簡単ではありません。

まずは、情報セキュリティ方針は形から、情報セキュリティ対策を進めるために、自社診断で現在の状況を知るところから始めます。

情報セキュリティについての自社診断と情報セキュリティ基本方針
情報セキュリティ対策に取り組み始めたばかりでは、IPAの情報セキュリティ基本方針のサンプルを読んでも中身が分かりません。まずは自社の情報セキュリティの現状を確認するため、「5分でできる自社診断」と情報セキュリティ基本方針について説明します。

「情報セキュリティ5か条」から現状確認と基本的な対策を始める

「情報セキュリティ5か条」から現在の情報セキュリティの状況を知り、基本的な対策を進めます。

「情報セキュリティ5か条」から現状確認と基本的な対策を始める
今や経営者や責任者が「情報セキュリティなんて分からない」と言ってすむ時代ではありません。IPAの中小企業の情報セキュリティガイドラインを利用し、会社にとって重要な情報のセキュリティ対策を進めます。ここでは情報セキュリティ5か条を説明します。
スポンサーリンク

情報セキュリティ対策

20名規模のモノづくりメーカーを想定して、基本的対策、従業員としての対策、組織(会社)としての対策について説明します。

基本的対策

情報セキュリティハンドブック:5つの基本的対策と進め方のポイント
情報セキュリティ対策のルール作りの進め方と、5つの基本的な対策、脆弱性対策(OS等の更新)、ウイルス対策ソフトの導入、パスワード管理、ネットワーク機器やサービスの共有設定、脅威や攻撃の手口を知り対策に活かす情報収集について説明しています。

従業員としての対策

情報セキュリティハンドブック:従業員としての対策
情報セキュリティ対策を、基本的対策、従業員の対策、組織の対策の3つに分けています。ここでは従業員の対策として、電子メール、無線LAN、インターネット利用、バックアップ、保管、持ち出し、事務所の安全管理、情報の安全な処分について説明します。

組織(会社)としての対策

情報セキュリティハンドブック:組織(会社)としての対策
情報セキュリティ対策を、基本的対策、従業員としての対策、組織としての対策の3つに分け、ここでは会社として実施する対策、守秘義務の周知、従業員教育、私物機器の利用、取引先管理、外部サービスの利用、事故への備え、ルールの整備について説明します。
スポンサーリンク

クラウドサービスの選定・運用

テレワークに限らず、クラウドサービスは会社でも個人でも利用しています。

ここでは、クラウドサービスを安全に利用するための選定、運用、セキュリティ管理についてまとめています。

クラウドサービスの安全利用:選択するときのポイント
クラウドサービスを選ぶ際には、何のためにどの様な情報を誰が扱うのかを事前に検討し明確にしておくことが重要です。ここでは、IPAのクラウドサービス安全利用チェックシートを利用して、クラウドサービス選択の6個のポイントについてまとめています。
クラウドサービスの安全利用:運用するときのポイント
クラウドサービスの運用では、管理担当者と利用者の範囲を定め、不測の事態に備えバックアップをどこまで行うかを明確にします。ここではサービス運用における4つのポイント、管理担当者、利用者の範囲、利用者の認証管理、バックアップについて説明します。
クラウドサービスの安全利用:セキュリティ管理のポイント
クラウドサービスのセキュリティ管理では、サービスに関連するセキュリティ対策、サポート体制、データ取扱い等を明確にします。ここでは、提供されるセキュリティ対策、サポート、利用終了時のデータ取扱い、適用法令や契約条件等について説明しています。
スポンサーリンク

情報セキュリティ対策の継続と改善

ここまで、段階的に情報セキュリティ対策を進めてきました。

ここからは、

  • 日々の業務の中で定期的に振り返り、
  • 改善すべきことは修正し、
  • 不足していることは追加していく。

ことで、

「自社に必要かつ有効な情報セキュリティ体制」

を作り上げていくことができると考えています。

PDCAに悩むような場合には、以下の記事をご参照ください。

PDCAはPから始める? できることをやってみるのが一番
PDCAは計画作りから始めなくてもよいのです。ここでは以下について説明しました。PDCA始めの1歩は、記録をつける残すから。マネジメントの第一歩は自己管理(時間管理)。指示待ちは指示したことはできること。P(計画)とC(確認)、品質目標と計画作成。
PDCAのPにはこだわらない。まず実行(Do)!
ISOやPDCAにマイナスのイメージがある人のお話を聞くと、PDCAが悪者のようなイメージを受けることが多いように思います。計画は実行あっての計画なので、PDCAはまずDo(実行)、目的、目標、手段を意識することと合わせて重要なポイントです。

スポンサーリンク
情報セキュリティハンドブック

クラウドサービスの安全利用:セキュリティ管理のポイント

クラウドサービスのセキュリティ管理では、サービスに関連するセキュリティ対策、サポート体制、データ取扱い等を明確にします。ここでは、提供されるセキュリティ対策、サポート、利用終了時のデータ取扱い、適用法令や契約条件等について説明しています。
2021.02.27
情報セキュリティハンドブック

クラウドサービスの安全利用:運用するときのポイント

クラウドサービスの運用では、管理担当者と利用者の範囲を定め、不測の事態に備えバックアップをどこまで行うかを明確にします。ここではサービス運用における4つのポイント、管理担当者、利用者の範囲、利用者の認証管理、バックアップについて説明します。
2021.02.27
情報セキュリティハンドブック

クラウドサービスの安全利用:選択するときのポイント

クラウドサービスを選ぶ際には、何のためにどの様な情報を誰が扱うのかを事前に検討し明確にしておくことが重要です。ここでは、IPAのクラウドサービス安全利用チェックシートを利用して、クラウドサービス選択の6個のポイントについてまとめています。
2021.02.27
情報セキュリティハンドブック

情報セキュリティハンドブック:組織(会社)としての対策

情報セキュリティ対策を、基本的対策、従業員としての対策、組織としての対策の3つに分け、ここでは会社として実施する対策、守秘義務の周知、従業員教育、私物機器の利用、取引先管理、外部サービスの利用、事故への備え、ルールの整備について説明します。
2021.02.27
情報セキュリティハンドブック

情報セキュリティハンドブック:従業員としての対策

情報セキュリティ対策を、基本的対策、従業員の対策、組織の対策の3つに分けています。ここでは従業員の対策として、電子メール、無線LAN、インターネット利用、バックアップ、保管、持ち出し、事務所の安全管理、情報の安全な処分について説明します。
2021.02.27
情報セキュリティハンドブック

情報セキュリティハンドブック:5つの基本的対策と進め方のポイント

情報セキュリティ対策のルール作りの進め方と、5つの基本的な対策、脆弱性対策(OS等の更新)、ウイルス対策ソフトの導入、パスワード管理、ネットワーク機器やサービスの共有設定、脅威や攻撃の手口を知り対策に活かす情報収集について説明しています。
2021.02.27
情報セキュリティハンドブック

「情報セキュリティ5か条」から現状確認と基本的な対策を始める

今や経営者や責任者が「情報セキュリティなんて分からない」と言ってすむ時代ではありません。IPAの中小企業の情報セキュリティガイドラインを利用し、会社にとって重要な情報のセキュリティ対策を進めます。ここでは情報セキュリティ5か条を説明します。
2021.02.27
情報セキュリティハンドブック

情報セキュリティについての自社診断と情報セキュリティ基本方針

情報セキュリティ対策に取り組み始めたばかりでは、IPAの情報セキュリティ基本方針のサンプルを読んでも中身が分かりません。まずは自社の情報セキュリティの現状を確認するため、「5分でできる自社診断」と情報セキュリティ基本方針について説明します。
2021.02.27
情報セキュリティハンドブック

情報セキュリティ対策:経営者(責任者)が認識し自ら考えること

今や経営者や責任者が「情報セキュリティなんて分からない」と言ってすむ時代ではありません。会社にとって重要な情報のセキュリティ対策について、中小企業の経営者が認識し自ら考えること、経営者が認識すべき3原則と実行すべき7項目について説明します。
2021.02.27
情報セキュリティハンドブック

IPAの中小企業の情報セキュリティ対策ガイドラインと今後の進め方

ISMS(ISO27000シリーズ)で20名規模のモノづくり企業のルールを作りましたが分かりやすいとは思えず悩んでいました。IPA(情報処理推進機構)の情報セキュリティ対策ガイドラインを利用した情報セキュリティ対策の進め方をまとめています。
2021.02.27
スポンサーリンク
はかせをフォローする
タイトルとURLをコピーしました