目次
はじめに
皆様の会社の情報セキュリティは大丈夫ですか・・・?
※この記事はIPA(情報処理推進機構)が提唱しております、「中小企業の情報セキュリティ対策ガイドライン」に基づいて、作成しております。
参考:IPA(中小企業の情報セキュリティ対策ガイドライン)
内容を把握するには、ITの知識が必要ですし、100ページ程度の資料を読まなければいけないので、ここにできるだけ簡単にまとめておきます。
また、社内にIT担当者がいらっしゃらない場合や、プロにお任せしたいというご要望がありましたら、
情報セキュリティガイドラインの策定から展開までご協力させて頂きますので、お問い合わせください。
情報セキュリティガイドラインとは
このガイドラインは下記の2点をまとめたものになります。
1.経営者が認識し実施すべき指針
2.社内において対策を実践する際の手順や手法
情報セキュリティのレベルを上げるためには、担当者だけでなく、「経営者が明確な方針を示すこと」が重要です。
利便性とセキュリティはトレードオフの関係にあることが多く、セキュリティのレベルを引き上げようとすると、煩雑になってしまったり、手間がかかってしまうこともあります。
それでも、会社として必ずやらなければいけないという意思を従業員に対して示し、推進していく必要があると私は思います。
情報セキュリティを軽んじているとどうなるか
・個人情報が流出し、企業としての信頼を損ねる
・営業機密情報などが流出し、事業を行う上で不利となる
・機密保持契約を行っている他社の機密情報を流出させ、高額な賠償金を払う羽目になる
・ウィルス感染によるシステム停止で、数日間業務停止に陥る
等々
また、個人情報やマイナンバーを流出させてしまった場合、経営者や役員・担当者が刑事罰に科される恐れがあります。
とんでもない損失を生じさせることになりかねないので、できるところから進めていきましょう。
経営者がやらなければいけないこと
1.情報セキュリティ対策は経営者のリーダーシップで進める
先ほども記述しましたが、セキュリティレベルを上げるには「手間」というおおきなハードルがありますので、経営者自ら推進する必要があります。
2.委託先の情報セキュリティ対策まで考慮する
委託先やビジネスパートナーの情報セキュリティ対策についても自社同様に注意を払いましょう。
3.関係者とは常に情報セキュリティに関するコミュニケーションをとる
自社のセキュリティ対策や、事故が起きた時の対応方法を理解しておき、関係者に明確に説明できるようにしておきましょう。
実行すべき「重要7項目」について
1.情報セキュリティに関する組織全体の対応方針を定める
自社に適した情報セキュリティに関するガイドラインと具体的な対策を練ります。
2.情報セキュリティ対策のための予算や人材などを確保する
情報セキュリティ対策は、アンチウィルスソフトの購入など、外部のサービスを利用しなければいけないことが多いので、その予算を確保することが必要です。
3.必要と考えられる対策を検討させて実行を指示する
事故が起きた際の損失の大きさや可能性を鑑みて、対策の優先度を決めていきます。具体的な進め方の決定後は、進捗状況について月次もしくは四半期ごとの報告を義務付けます。
4.情報セキュリティ対策に関する適宜の見直しを指示する
進捗報告に対する評価を行い、ガイドラインに定めた内容と相違が無いかを確認します。取り巻く情勢の変化などから、必要であればガイドラインの見直しを行います。
5.緊急時の対応や復旧のための体制を整備する
万が一の事故が起こった場合の対応体制を決めておきます。的確な復旧手順や・調査手順をあらかじめ作成しておくことで、適切な指示を出すことができ、
被害を最小に抑えることができます。定期的に被害発生を想定した訓練を行うのも効果的です。
6.委託や外部サービス利用の際にはセキュリティに関する責任を明確にする
業務委託先には、少なくとも自社と同様の対策が行われていることを確認する必要があり、契約書に責任範疇の記載をしておきます。
また、緊急時の体制や長期休みの時の体制など、忘れずに取り決めておきましょう。
7.情報セキュリティに関する最新動向を収集する
情報技術の進化の速さから、講ずるべき対策は変化していきます。情報セキュリティに関する動向をチェックしたり、知り合いやコミュニティへの参加を行って、
情報交換を積極的に行いましょう。
情報処理推進機構がこんな発表をしておりますので、時間があれば見ておいてください。
「情報セキュリティ10大脅威 2020」
おわりに
次回は、実際に情報セキュリティ対策を講じるにあたって、どういった進め方をすれば良いのかをまとめます。
お読みいただきありがとうございました。
これまでお読みいただいて、「そんな時間は無い」「難しそう」と思われる方もいらっしゃるかもしれません。その場合は、
情報セキュリティガイドラインの策定から展開までご協力させて頂きますので、お問い合わせください。