~「情報セキュリティハンドブック(ひな形)」の記述ご紹介
投稿:舩生好幸(ISACA認定CISA、IPA登録 セキュリティプレゼンター)2024.9.25
今回は、「情報セキュリティハンドブック(ひな形)」を参考に、セキュリティ情報の収集と周知のしかたを具体的にご紹介します。
「情報セキュリティハンドブック(ひな形)」は、IPA(情報処理推進機構)が一般公開するツールの一つです。
中小の事業者様に必要となる情報セキュリティ対策を社内・職場内に周知・浸透させるため、このハンドブックには各種ルールの「ひな形」が用意されています。
利用する際は、各種ルールの記述を自組織に適するようカスタマイズしてから、印刷物で職場内に配布したり、従業員やスタッフの方がいつでも参照できるよう、社内のイントラネット上で電子ファイルを公開する、などします。
このひな形のP.2「セキュリティに対する注意」の記述は、公的なセキュリティ専門機関のウェブサイトからの積極的な情報収集と職場内への周知の手順です。
〇「セキュリティに対する注意」の記述
以下の引用中、赤字部分(組織名、実施時期、行動の詳細など)は利用に先立ってカスタマイズする箇所です。
-(引用ここから)-------------
●総務部システム担当は毎週月曜日に以下のサイトを参照し、当社で利用するIT製品やサービスに関わる重要なセキュリティ情報、緊急情報などが公表された時には、速やかに社長に
報告し、電子メールで対策を全従業員に通知する。
●通知を受けた従業員は速やかに対策を実行する。
👉 独立行政法人情報処理推進機構(略称:IPA) 重要なセキュリティ情報
👉 JVN (Japan Vulnerability Notes 脆弱性対策情報ポータルサイト)
👉 一般社団法人 JPCERT コーディネーションセンター
(略称:JPCERT/CC 技術的な立場における日本の窓口CSIRT)
-(引用ここまで)-------------
上記の記述では参照対象とするサイトのURLは3件が記載されていますが、状況に応じて追加・変更するのもよろしいと思います。
*ご参考ブログ:脅威や攻撃の手口を知ろう!
また、ルールを運用してみて、無理や合理的でない要素などが見つかれば、適宜修正を加えるようにします。
〇自組織の制約事項等も考慮して、無理なく効率的にご利用を
ちなみに、「情報セキュリティハンドブック(ひな形)」はA4版17ページで、記載されるルールは合計で30項目超と多岐にわたります。
もしも、ルールを一度にすべて導入しようとすると、現場の理解が追い付かないなど、事業者様によっては厳しい場合もあるかもしれません。
ハンドブックの使い方は自由です。まずは上記「セキュリティに対する注意」のみを導入するなど、必要なルールに絞って導入することもできます。
状況を見て、後日ほかのルールを増やしていくことも可能です。
自組織の制約事項や情報セキュリティ対策の理解度等も考慮して、無理なくご利用いただくのがよい、と思います。
(Primary-f/向実庵 代表)
※以上、IPAが公開する「情報セキュリティハンドブック(ひな形)」Ver.1.5よりご紹介しました。
「情報セキュリティハンドブック(ひな形)」は、IPAの「中小企業の情報セキュリティ対策ガイドライン」のページに「付録4」として登録されており、誰でもダウンロードが可能です。
<ご案内>
Primary-fでは、事業者様の「人と事業を守る」ため、中小企業庁及びIPAが推進する「できるところから始めて段階的にステップアップ」の取り組みに沿った情報セキュリティ関連サービスをご提供いたします。
詳しくはこちらよりお入りください。
Comments