デジタル社会の中で、企業のセキュリティ管理の重要度が増しています。
特に近隣では自動車関連事業者も多いので、この関連分野での情報セキュリティ管理には
各企業神経を尖らせています。
弊社も過去から現在まで多くの「情報セキュリティ」関連に携わっており少しの知見もあります。
情報セキュリティポリシーとは言っても、種類は多少違えどISO国際標準などで言う所の
「マネジメントシステム」などと同様です。
マネジメントシステムとは、企業が組織的に行動し、円滑なプロセスを確保し、計画された結果を
達成するために、その構造やプロセスにおいて組織化する方法を説明します。現代のマネジメント
システムは通常、計画、実施、レビュー、改善(Plan-Do-Check-Act)のPDCAサイクルに沿っています。
「情報セキュリティ」に関するルールや実施手段を定めたものが
「情報セキュリティポリシー」になります。
何やら大掛かりで大変そうな物々しい内容ですね。
特に自動車業界は上位企業から完全なるピラミッド構造になっていますので、上位下達は絶対で
特に昨今騒がれております「情報セキュリティ」に関しては、企業規模に関わらず関連企業は
対応に頭を悩ませております。
情報セキュリティポリシー策定サポート
そんな際にお受けするのが「情報セキュリティポリシー策定サポート」になります。
企業の「情報セキュリティポリシー策定」は1企業独自の内容では無く、全企業が同様の内容で
(企業規模により多少違いあり)本来は各中小企業が1社1社で悩む内容では無いのですが
企業経営者から見ますと、そんな悠長な事は言ってられずに親会社からのプレッシャー
(ルール遵守)を感じておられます。
そこで「まちの総務」的な観点から「情報セキュリティポリシー策定」について探ってみます。
先ずは「情報セキュリティポリシー」の内容について整理します。
情報セキュリティポリシーの内容
総務省HPより
情報セキュリティポリシーは、「基本方針」、「対策基準」、「実施手順」の3つの階層で構成されることが
一般的です。 基本方針には、組織や企業の代表者による「なぜ情報セキュリティが必要であるのか」や「どの
ような方針で情報セキュリティを考えるのか」、「顧客情報はどのような方針で取り扱うのか」といった宣言
が含まれます。 対策基準には、実際に情報セキュリティ対策の指針を記述します。多くの場合、対策基準には
どのような対策を行うのかという一般的な規定のみを記述します。 実施手順には、それぞれの対策基準ごと
に、実施すべき情報セキュリティ対策の内容を具体的に手順として記載します。
このような運用の手順になっております。
これを全て中小企業(子会社でも)で作るのか?
多分、この辺の内容や手間工数、実現可否(自社のk規模や実力)などで悩まれていると考えます。
そこでいくつかのポイントをピックアップしてシリーズ化してまとめて行きます。
- 情報セキュリティポリシーが出来た背景と現状認識
- お役所が作ると過剰対応になり現場は混乱
- 身の丈にあった「情報セキュリティポリシー」の策定
- 情報セキュリティポリシーの進む未来像
この辺の内容について掘り下げてみます。