中小企業の情報セキュリティ対策ガイドライン(第2版) 勘所②
更新日 : 2020年08月05日
経営者がなすべきことは?
- 情報セキュリティ対策は、経営に大きな影響を与えます!
- 経営者が法的・道義的責任を問われます!
- 組織として対策するために、担当者への指示が必要です!
「中小企業の情報セキュリティ対策ガイドライン」の冒頭、「経営者の皆様へ」と題したページから、見出しを拾ってみました。詳細は「ガイドライン」を見ていただくとして、この3行で"経営者が自ら取り組まなければならない理由"は見えてきますね。
指針と手法は「ガイドライン」に
それでは、経営者が自ら実践するには、何から手を付けたらいいのでしょうか? どのように進めたらいいのでしょう? 「ガイドライン」に示された「3原則」と「重要7項目」が役に立ちます。
トップダウンの精神を維持し実働部隊と連携を
「3原則」は、経営者が情報セキュリティに取り組む上での指針、そして「重要7項目」が具体的な行動内容と考えていいでしょう。
経営者は、「重要7項目」を常に意識しておくことが大切ですが、「3.」で「実行を指示する」とある通り、「4.」以降の項目はどちらかと言うと、実務担当者が主体で進めることになります。
セキュリティ担当者が果たすべき"must"とは?
「ガイドライン」の第2部「管理実践編」は、セキュリティ担当者に向けたマニュアルです。スタートラインは「情報セキュリティ5か条」。ここには、業種や業態を問わず、全ての組織が行うべき"must"が集約されています。
◆情報セキュリティ5か条
分かれ目は"実践しているかいないか"です
個々の内容は、インターネットを利用している方でしたら、何度も耳にしてきた注意点ではないでしょうか? それでも情報漏えいやシステムへの不正侵入が減らないのは、実行していない人が多いからです。企業にも同じことが言えそうです。
さっそく自社診断、あとは実践あるのみ
「ガイドライン」には「5分でできる! 自社診断シート」という付録が付いています。
自社の状況をていねいにチェックしていけば、もう少し時間はかかりそうですが、それでも何十分もかかることはないでしょう。
「自社診断」で高得点が得られたら、【情報セキュリティポリシーを策定】し、あとはそれを維持・改善していきます。合格点に満たなければ、課題が見えた項目の改善を進めると同時に、【情報セキュリティハンドブック】の配付も考えてみましょう。
(【】で囲んだ内容の作成には「ガイドライン」の付録が使えます)
次回はもう少し踏み込んで、「3原則と重要7項目」と「5か条」を実践するときに役立つ情報とノウハウ、便利なツールも紹介する予定です。
関連記事