情報セキュリティについての自社診断と情報セキュリティ基本方針

情報セキュリティ対策に取りかかり始めたばかりでは、「情報セキュリティ方針」を定めたくても、正直なところIPAの情報セキュリティ基本方針のサンプルを読んでもよく分かりません。

方針なので、分からないからと言って決めないわけにもいきません。

そこで、まずは自社の情報セキュリティの現状(レベル)を確認するために「5分でできる!自社診断」と、情報セキュリティ基本方針について説明します。

スポンサーリンク

IPAの5分でできる!自社診断

IPAの情報セキュリティ支援サイトに、「5分でできる!自社診断&ポイント学習」があります。

はかせ
はかせ

とりあえず、「5分でできる!自社診断」をやってみることをお勧めします。

自社診断の結果については、現在の実力値と考えればよいので、点数にこだわるよりも今後何をしていくか、何を優先して進めるかなどを考える際の参考にすることをお勧めします。

なお、自社診断の採点基準は下表の通りです。(2020年5月)

点数評価今後の進め方
100点満点

入門レベルのセキュリティ対策は達成です。

ステップアップを検討しましょう。

「中小企業の情報セキュリティ対策ガイドライン」を参照して、情報セキュリティ対策の強化に取り組みましょう。
100点満点ほぼ、できていますが、部分的に対策が不十分な点があるようです。

小さな隙間から情報が漏えい(流出)することもあります。

100 点満点を目指しつつ、「中小企業の情報セキュリティ対策ガイドライン」を参照して対策の強化に取り組みましょう。

100点満点対策が行き届いていないところが目立ちます。点数が低かった項目について「解説編」を参考に対策を検討し、「情報セキュリティハンドブック」を活用して周知しましょう。
100点満点いつ情報流出などの事故が起きても不思議ではありません。「解説編」や「対策のしおり」「映像で知る情報セキュリティ」を利用して、分からなかった部分や点数が低かった項目を確認し、対策を進めましょう。

実際に、「5分でできる!自社診断」をやってみると、

  • 自社診断をやる度に点数が変わる(同じ結果にならない)。

ことも普通にありました。

ましてや、同じ会社でも職場や立場によっても結果は変わってきて当然だと考えています。

ご参考までに、私の知る会社を想定してやってみた私の自社診断結果を紹介します。

以下の自社診断結果は、実例ではありませんのでご注意ください。
はかせ
はかせ

まずは、「報告するための自社診断」ではなく、情報セキュリティ対策を進める上で、進捗管理の1つの指標として利用して利用するのもありだと考えています。

自社診断結果の例:モノづくりメーカー

国内向けの製品を自社開発しているメーカーの同業種との比較結果の1例です。

合計点:54/100点

    • 実施しているの合計点:28点
    • 一部実施しているの合計点:26点
    • 技術部門の1人としての私の個人的な判断です。
はかせ
はかせ

2000年代初めの頃で、自社で製品を開発・販売していることから点数が低くなっているのではないかと考えています。

情報セキュリティの自社診断結果:モノづくりメーカーの例

情報セキュリティの自社診断結果:モノづくりメーカーの例

図1 情報セキュリティの自社診断結果:モノづくりメーカーの例

自社診断結果の例:技術系の商社

自社で販売しているソフトウェアの技術サポートも提供している商社の同業種との比較結果の1例です。

合計点:94/100点

    • 実施しているの合計点:88点
    • 一部実施しているの合計点:6点
    • 技術部門の1人としての私の個人的な判断です。
はかせ
はかせ

技術サポートを提供しているためか、2010年代にISMS認証取得を目指すなど、情報セキュリティ面での対策が組織的に進んでいたようです。

情報セキュリティの自社診断結果:技術系商社の例

情報セキュリティの自社診断結果:技術系商社の例

図2 情報セキュリティの自社診断結果:技術系商社の例

スポンサーリンク

【参考】情報セキュリティ対策と自社診断項目との関係

情報セキュリティ自社診断と情報セキュリティ対策との関係について、

IPA「中小企業の情報セキュリティ対策ガイドライン 第3版

p.19 【表4】自社診断のための25項目

から引用します。

何が重要というものでもないのですが、各対策と自社診断(情報セキュリティのポイント)との関係が分かるかと思います。

基本的対策と自社診断項目との関係

  • パソコンやスマホなど情報機器のOSやソフトウェアは常に最新の状態にしていますか?
  • パソコンやスマホなどにはウイルス対策ソフトを導入し、ウイルス定義ファイルは最新の状態にしていますか?
    • ウイルス定義ファイル:コンピュータウイルスを検出するためのデータベースファイル「パターンファイル」とも呼ばれる。
  • パスワードは破られにくい「長く」、「複雑な」パスワードを設定していますか?
  • 重要情報に対する適切なアクセス制限を行っていますか?
    • 重要情報:営業秘密など、事業に必要で組織(会社)にとって価値のある情報や顧客や、従業員の個人情報など管理責任を伴う情報のこと
  • 新たな脅威や攻撃の手口を知り、対策を社内共有する仕組みはできていますか?

従業員としての対策と自社診断項目との関係

  • 電子メールの添付ファイルや本文中のURLリンクを介したウイルス感染に気をつけていますか?
  • 電子メールやFAXの宛先の送信ミスを防ぐ取り組みを実施していますか?
  • 重要情報は電子メール本文に書くのではなく、添付するファイルに書いてパスワードなどで保護していますか?
  • 無線LANを安全に使うために適切な暗号化方式を設定するなどの対策をしていますか?
  • インターネットを介したウイルス感染やSNSへの書き込みなどのトラブルへの対策をしていますか?
  • パソコンやサーバーのウイルス感染、故障や誤操作による重要情報の消失に備えてバックアップを取得していますか?
  • 紛失や盗難を防止するため、重要情報が記載された書類や電子媒体は机上に放置せず、書庫などに安全に保管していますか?
  • 重要情報が記載された書類や電子媒体を持ち出す時は、盗難や紛失の対策をしていますか?
  • 離席時にパソコン画面の覗き見や勝手な操作ができないようにしていますか?
  • 関係者以外の事務所への立ち入りを制限していますか?
  • 退社時にノートパソコンや備品を施錠保管するなど、盗難防止対策をしていますか?
  • 事務所が無人になる時の施錠忘れ対策を実施していますか?
  • 重要情報が記載された書類や重要なデータが保存された媒体を破棄する時は、復元できないようにしていますか?

組織(会社)としての対策と自社診断項目との関係

  • 従業員に守秘義務を理解してもらい、業務上知り得た情報を外部に漏らさないなどのルールを守らせていますか?
  • 従業員にセキュリティに関する教育や注意喚起を行っていますか?
  • 個人所有の情報機器を業務で利用する場合のセキュリティ対策を明確にしていますか?
  • 重要情報の授受を伴う取引先との契約書には、秘密保持条項を規定していますか?
  • クラウドサービスやウェブサイトの運用などで利用する外部サービスは、安全・信頼性を把握して選定していますか?
  • セキュリティ事故が発生した場合に備え、緊急時の体制整備や対応手順を作成するなど準備をしていますか?
  • 情報セキュリティ対策(上記基本的対策、従業員としての対策、及び、組織としての対策など)をルール化し、従業員に明示していますか?
スポンサーリンク

情報セキュリティ基本方針

以下に、情報セキュリティ方針の例を示します。

冒頭の部分は、宣言として項目を起こしている会社もあります。

以下に情報セキュリティ基本方針の1例を示しますが、言葉が難しいと感じる方がほとんどだと思います。

まずは、特に情報セキュリティ対策を始めたばかりの時は、せめて社内向けには分かりやすい表現にした方がよいと考えています。

しかし、基本方針の文言にこだわるのは後回しにして、まずは具体的に何をするかに注力して、ある程度情報セキュリティ対策が進んでから基本方針の文言を見直すことをお勧めします。

はかせ
はかせ

基本方針の文言のために(文言にこだわり過ぎて)、情報セキュリティ対策の具体化が進まないのでは、本末転倒になってしまいます。

情報セキュリティ基本方針(例)

株式会社◯◯(以下、当社という)は、当社の情報資産(お客様からお預かりした情報資産を含む)を事故・災害・犯罪などの脅威から守り、お客様ならびに社会の信頼に応えるべく、以下の方針に基づき全社で情報セキュリティに取り組みます。 

1.経営者の責任

当社は、経営者主導で組織的かつ継続的に情報セキュリティの改善・向上に努めます。

2.社内体制の整備

当社は、情報セキュリティの維持及び改善のために組織を設置し、情報セキュリティ対策を社内の正式な規則(内規)として定めます。

3.従業員の取組み

当社の従業員は、情報セキュリティのために必要とされる知識、技術を習得し、情報セキュリティへの取り組みを確かなものにします。

4.法令及び契約上の要求事項の遵守

当社は、情報セキュリティに関わる法令、規制、規範、契約上の義務を遵守するとともに、お客様の期待に応えます。

5.違反及び事故への対応

当社は、情報セキュリティに関わる法令違反、契約違反及び事故が発生した場合には適切に対処し、再発防止に努めます。


はかせ
はかせ

品質マネジメントの品質方針や品質マネジメントの原則と比べると、共通する部分があることにお気づきでしょうか。

参考:品質マネジメントシステムの7原則

参考:PDCAはPから始める? できることをやってみるのが一番

参考:ISOは特別なこと?いいえ、会社のルールの一部です

まとめ

情報セキュリティ対策に取り組み始めたばかりでは、IPAの情報セキュリティ基本方針のサンプルを読んでも中身が分かりません。

ここでは、自社の情報セキュリティの現状を確認するため、「5分でできる!自社診断」と情報セキュリティ基本方針について、以下の項目で説明します。

  • IPAの5分でできる!自社診断
    • 自社診断結果の例:モノづくりメーカー
    • 自社診断結果の例:技術系の商社
  • 【参考】情報セキュリティ対策と自社診断項目との関係
    • 基本的対策と自社診断項目との関係
    • 従業員としての対策と自社診断項目との関係
    • 組織(会社)としての対策と自社診断項目との関係
  • 情報セキュリティ基本方針情報セキュリティ基本方針(例)
    • 1.経営者の責任
    • 2.社内体制の整備
    • 3.従業員の取組み
    • 4.法令及び契約上の要求事項の遵守
    • 5.違反及び事故への対応
タイトルとURLをコピーしました