情報セキュリティをはじめよう(3)

連載3回目です。
1回目の記事は、「情報セキュリティをはじめよう(1)」です。

前回からの続きで、(ステップ2)からです。

(ステップ2)規程を作ろう

自社状況を把握したら、続いて、「規程を作ること」に進んでいきます。

規程を作るというと、本来ならば、リスクアセスメントを実施して、条項を決定していくという手順を踏みます。しかし、そんなに手間をかけるのは大変だという声をよく聞きます。まずは、出来るところからスタートさせていきたいところです。

いちばんの手は、(ステップ1)で用いた、チェックリストの語尾の疑問文をそのまま、「~すること」に替えることです。それだけで25項目の規程を策定することができます。

ex)
「パスワードは自分の名前を避けるなどのように、他人に推測されにくいものに設定していますか?」
→「パスワードは自分の名前を避けるなどのように、他人に推測されにくいものに設定していること」

ただ、チェックリストは、一般的なものであり、これだけやれば充分というものではなく、各社の特徴を反映させたものではないという点について、留意する必要があります。

その特徴を反映させる方法として、手間をかけず効率的に進めていくならば、次の2つの方法を推奨します。

■自社を中心に境界をまたぐところにリスクが無いかをチェックする

1つめは、まず、枠を5つ書きます。「自社」を真ん中とし、上側に「インターネット」、左側に「仕入先」、右側に「顧客」、下側に「取引先」という具合です。「自社」を中心として、それぞれの枠間では、どんな情報がどのようなやり取りをしていますか。自社内でコントロールできる領域とそれ以外の領域との境界をまたぐ情報の取り扱いについては、優先的に考えておきましょう。

■重要情報を特定する

もう1つは、情報セキュリティの「機密性」、「完全性」、「可用性」という3つの観点が維持できない状態になったときに、ビジネスへの影響が大きいと思われる情報を特定しましょう。
すべての情報において一律の対策をする必要はありません。重要情報に絞り対策することで、従業員にとっても重要な情報は何なのかを考えながら、かつ、やりすぎず効率的に有効な対策を実施していけるものになります。

重要情報を特定したところで、 以下「4つのポイント」における現状を確認してみましょう。そして、それをどうすべきなのかを検討し、規程のなかに組み込んでいきましょう。

● メディア変換(スキャンやコピーなど)
● 移送(手持ち、電子メールなど)
● 消去・破壊
● 保管

次回は、(ステップ3)に進んでいきます。

スポンサーサイト


情報(セキュリティ) | コメント(0) | トラックバック(0)2013/03/23(土)08:34

«  | HOME |  »


カレンダー

05 | 2017/06 | 07
- - - - 1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30 -

Twitter

プロフィール

 新木 啓弘

Author: 新木 啓弘
     (しんき よしひろ)

徳島県出身/東京都在住

株式会社インフォクリエマネジメント 代表取締役

中小企業診断士
ITコーディネータ
ISMS審査員
ターンアラウンドマネージャー(NPO法人金融検定協会認定)

砂にこぼれた雨の滴が
川と流れて海に向くように
人は生きて何を残そうか?
こんな小さな命だけど・・・
  「からっぽのブルース」より

↓従業員特性調査ツール

BasMosバナー

月別アーカイブ

全ての記事を表示する

全ての記事を表示する

ブログ内検索