中小企業のための情報セキュリティのはじめ方(5)

(ステップ2)
このステップでは規程を作ります。規程を何故、作るのかというと曖昧さをなくすことが出来るからです。良いも悪いも基準がないと何も言えません。

以下、その基準の作り方の手順を書いてみます。今回は長めとなりますが、お付き合いください。

1.プロジェクト体制を整えましょう
ここで大切な事は、まず、社長が意気込みを社員全員に伝える事からはじめます。キックオフを開催することも大袈裟ではありません。それに加えて、各部門が参加することです。営業部が抜けても、生産部が抜けても成り立ちません。それとそのメンバーに職責を与えることが重要です。会議を進めていると、営業部が欠席したり、生産部が欠席したりで進まなくなってきてしまいます。みんな本業があるからです。このプロジェクトも本業であるという認識が必要です。是非、メンバーには職責を与え、プロジェクトとして体制を整えましょう。

2.業務フローを作りましょう
資産が生まれてから、廃棄されるまでをフロー図で表してみましょう。フォーマットは問いません。簡単に取り組んでみて下さい。そうすることで、その資産の場所やプロセス(動き)がはっきりします。ある時点では、机の中だけであるが、ある時点では、コピーが取られ、キャビネットと机の中の2つになっている。その後、机の中のものは案件が終了したらシュレッターしている。などということを明確にします。ここでは、抜け漏れがないように、保管場所だけでなく、プロセス(動き)も捉えることです。

3.脅威、脆弱性を考えてみましょう
業務フローにより資産の場所やプロセスが明確になると、その場面ごとに、脅威を考えてみましょう。脅威とは、盗難、地震、人為的なミスなど、セキュリティ事故の潜在的な原因を指します。その脅威に対して、どのような対策を実施しているのだろうと考えて、脆弱性の度合いを図りましょう。脆弱性とは、脅威の発生を誘引する弱点と考えて頂ければと思います。
例えば、キャビネットに保管している情報に対して盗難という脅威があるとして、キャビネットに鍵をつけるという対策をしたとします。立派な取り組みですね。しかしその鍵が壊れている、鍵の管理をしていないといったことはないでしょうか。それらの現在実施している取り組みと運用状況を考慮して、脆弱性を考えてみましょう。

4.対策を考え、規程を作りましょう
脆弱性の度合いがあまりにも高い(悪い)場合、脅威が付け込んできますので、何らかの対策を打つ必要があります。その対策を集めて、ルール化したものが規程となります。それを分類すれば、PC利用規程、入退出規程などが出来あがります。

5.管理系の規程を少し追加しましょう
業務フローから抽出した上記の規程に加えて、人的対策について少し補完しましょう。
例えば、セキュリティ委員会運営規程、事故連絡規程など、また、機密保持契約書なども「在職中に知りえた機密情報を他人に開示してはならない」などと、セキュリティの観点を加えて見直しを実施しましょう。

6.周知しましょう
規程を作ったら周知しましょう。教育という形で実施することが望ましく、あわせて、受講アンケート、理解度チェックをして、次回の教育にも活かしましょう。

7.見直しましょう
運用を始めてみたら実態に合っていなかったということもあります。また、いつかは陳腐化します。必ず、見直しを実施しましょう。その見直しタイミングを決めておくことも大切です。

(6)に続く


スポンサーサイト


情報(セキュリティ) | コメント(0) | トラックバック(0)2008/06/14(土)09:26

コメント

コメントの投稿


秘密にする

«  | HOME |  »


カレンダー

09 | 2017/10 | 11
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31 - - - -

Twitter

プロフィール

 新木 啓弘

Author: 新木 啓弘
     (しんき よしひろ)

徳島県出身/東京都在住

株式会社インフォクリエマネジメント 代表取締役

中小企業診断士
ITコーディネータ
ISMS審査員
ターンアラウンドマネージャー(NPO法人金融検定協会認定)

砂にこぼれた雨の滴が
川と流れて海に向くように
人は生きて何を残そうか?
こんな小さな命だけど・・・
  「からっぽのブルース」より

↓従業員特性調査ツール

BasMosバナー

月別アーカイブ

全ての記事を表示する

全ての記事を表示する

ブログ内検索