情報セキュリティ対策をルール化する
- 舩生 好幸
- 2024年9月13日
- 読了時間: 4分
更新日:9月5日
投稿:舩生好幸(ISACA認定CISA、IPA登録 セキュリティプレゼンター)2024.9.13
(更新:2025.9.4)
〇情報セキュリティ対策をルール化し、従業員に明示していますか?
経営者が情報セキュリティ対策に関する「ポリシー」や「方針」を定めていたとしても、それに基づく「具体的なルール」が用意されていなければ、職場の従業員やスタッフの皆さんは都度、経営者の指示を仰がなければなりません。
情報セキュリティ対策の方針を制定したら、
従業員やスタッフの皆さんが主体的に判断・行動ができ、情報セキュリティ対策がとれるよう、方針に基づく企業や職場のルールを明文化し、いつでも参照できるようにしておきましょう。
〇対策例
・IPA(独立行政法人情報処理推進機構)が中小事業者向けに一般公開する「情報セキュリティハンドブック(ひな形)」を導入。カスタマイズして自社向けルールを作成。全従業員やスタッフに公開・配付する等して各人が実施に取り組む。
(「情報セキュリティハンドブック(ひな形)」は、IPAの「中小企業の情報セキュリティ対策ガイドライン」のページに「付録4」として登録されており、誰でもダウンロードが可能です。)
・テレワークを実施する企業・職場ではテレワーク時のルールもまとめ、同様に公開・配付する等して実施に取り組む。
・一度決めたルールでも定期的に見直し、不備や問題点を継続的に改善する。
等
*上記は、IPA(独立行政法人情報処理推進機構)発行の以下の文書を参考に、筆者の意見も加えて構成しました。
・「5分でできる!情報セキュリティ自社診断」Ver.5.4・設問No.25及び解説
*「5分でできる!情報セキュリティ自社診断」は、IPAの「中小企業の情報セキュリティ対策ガイドライン」のページに「付録3」として登録されており、誰でもダウンロードが可能です。
〇追記:小さな事業所は、ルールはなるべくフラットな構成に
大企業やそのグループ企業ですと、社内ルールが、
・方針-規則-細則-実施要領-詳細マニュアル
などのように多段階で構成されている場合があります。
部署により業務内容やビジネス環境などが異なるため、同じ方針や規則を適用するためには下位の文書で具体的な内容を書き分ける必要があるからですが、
小さな事業所の場合は、ルールはなるべくフラットな構成にする方が、メンバーへの周知や理解促進、そして後々のメンテナンスは楽になる場合が多いです。
前項で少し紹介したIPAからダウンロードできる情報セキュリティ関連の方針やルールのひな形・サンプルを例にしますと、
・情報セキュリティ基本方針-情報セキュリティ関連規程-情報セキュリティハンドブック
(方針-規則-具体的ルール)
で、3層構造と考えてよいかもしれません。
中小の事業者様が自社の情報セキュリティ関連ルールを制定するなら、最大でもこの程度の階層構造がよいと思います。
また、10人未満などの小さな事業者様なら、
・情報セキュリティ基本方針-情報セキュリティハンドブック
(方針-具体的ルール)
の2階層で、まずは情報セキュリティ対策の運用を始めてみてもよいかもしれません。
*ご紹介している基本方針や規程、ハンドブックなどのひな形・サンプルは、IPAの「中小企業の情報セキュリティ対策ガイドライン」のページに登録されており、誰でもダウンロードが可能です。
〇制定したルールは定期的に見直して、常に実務にフィットするよう改善を
経営環境の変化などから、情報セキュリティ「ポリシー」「方針」が一部なりとも改定される可能性は、3年~5年程度のスパンで見ていますと、かなりの確率で生じると思います。
「ポリシー」「方針」が改定されれば、それに基づく具体的なルールにも改定が必要になる可能性が高いと思います。
また、一度制定したルールも、実務との整合性を常に確認し、無理や無駄などが見つかれば、都度手直しを加える必要があります。
制定した情報セキュリティルールは、
・定期的に(=少なくとも年に一度は)「点検する」機会を設け、
・常に「ポリシー」「方針」そして実務にフィットし、有効なルールであるよう、
継続的改善にも取り組みましょう。
(Primary-f/向実庵 代表)
<ご案内>
Primary-fでは、事業者様の「人と事業を守る」ため、中小企業庁及びIPAが推進する「できるところから始めて段階的にステップアップ」の取り組みに沿った情報セキュリティ関連サービスをご提供いたします。
詳しくはこちらよりお入りください。
コメント