デジタル化が進むと必然的に輩も増える
輩が増えると対応する方の余計なお仕事が増える
これは人類が歩んで来た永遠の課題ですが
まさにデジタルの恩恵に対しての負の遺産とも言えます
「企業におけるコンピュータウイルスなどの対応」のお仕事です。
特に自動車関連の子会社、下請け、孫請け企業などでは
コンピュータウイルス対策などが結構厳しく管理されております。
これは以前からの傾向ではありますが
特に2022年に起きたトヨタ関連企業のサイバー攻撃(マルウェア被害)などが
大きく影響しております。
弊社のお客様にも自動車関連企業さまも多く
当然これらの対策としてのルール化が義務付けられて来ております。
セキュリティポリシーの策定サポート
そんなお客様から問合せをいただくのが「セキュリティポリシーの策定サポート」です。
一般的には親会社(メーカー)が作成した厳しめのセキュリティポリシーに対して
関連会社も含めて「体制から対策までしっかりしなさい」と言うお上の声です。
中堅以上の企業であれば別ですが100名前後の企業の場合、多くが情報システム部門が無く
総務部門などが兼任している場合も多く
いきなり専門分野外(デジタル関連)の「ルールを作って運用しなさい」は拷問級のお仕事です。
普段、規定や標準文書など作り慣れていない場合などでも「親会社からの声」は絶対です。
「困った困った」…助けて「まちの総務‼︎」
はい、ご安心ください。
セキュリティポリシーの作成指南を共有させていただきます。
先ずはセキュリティポリシー(ルール)についてに解説です
情報セキュリティポリシーには、社内規定といった組織全体のルールから、どのような情報資産をどのような脅威からどのように守るのかといった基本的な考え方、情報セキュリティを確保するための体制、運用規定、基本方針、対策基準などを具体的に記載するのが一般的です。
総務省HPより
基本的には4段階で準備を行います。
- 情報セキュリティポリシー(社内規定)
- 情報セキュリティポリシー(運用標準)
- 情報セキュリティ運用体制(社内組織体制)
- 情報セキュリティチェックシート
先ずは最低限、以上の4項目は揃える必要はありそうです。
ISOなどで言う規定類の準備内容と同等になります。
情報セキュリティポリシー(社内規定)
これは1番上位の規定になり、基本方針など企業の考え方を踏まえた方向性について明文化します。
※注意:基本方針なので基準など細かい部分は記載せずに「〇〇の考え方で進める」
「どのような方針でセキュリティを考えるか」「重要情報はどのように取り扱うか」
と言った宣言的な内容になります。
情報セキュリティポリシー(運用標準)
ここではじめて、規定に沿った内容でどのようなチェックをするか?何を具体的に守るか?
何を禁止するか?この辺について運用内容を記載します。
※注意:規定との違いは規定は一度制定したら大きな変更がない限り改訂は無く
運用標準の方で変更があった場合に改訂を入れて行くイメージです。
セキュリティ運用体制(社内組織体制)
言うは易しですが、実は中小企業で結構厳しいのはこの体制作りです。
多くの企業ではまだまだこの体制作りが出来て無く(出来ていても名ばかり)
セキュリティ責任者(管理者)を中心に各部門に担当者を配置して管理体制を確立します。
当初は体制ありきの形だけの体制になるかもですが
これは将来的には「社内ITサポートチーム体制化」にもつながりますので体制作りは
マストで行って行く必要はありますね。
この部分は別のブログで別途解説します。
情報セキュリティチェックシート
チェックシートまで必要なの?と疑問に思われるかもですが
「セキュリティポリシーを策定しなさい」とお上の声が出たと言う事は
単に「ポリシー(ルール)を作りなさい」では無く「ルールを作って運用しなさい」
につながります。
運用したからには「運用エビデンス(運用した証拠)」を残しなさい。がセットになります。
そこで必要になってくるのが「情報セキュリティチェックシート」になります。
このチェックシートに則り、年に一度(標準指示)確認を行っていますよ。
が実施エビデンスになります。
これを一連の作業を経てはじめて「情報セキュリティ運用が出来ています」と言う内容です。
セキュリティポリシーのひな形(サンプル)はググれば色々と出てきますので参考にして見てください。
一応、流れとして必要な内容に関して解説しました。
次回は「どのレベルまで管理するの?弊社のレベルではそこまで求められても管理出来ないよ」
について解説します。
お楽しみに