(実践編) 本格的に取り組む
この章では、情報セキュリティの取り組みを具体的に実践する方法が記載されています。
前章での「情報セキュリティ基本方針」をもとに具体的なルール(規程)づくりを行います。
「(経営者編) 情報セキュリティ対策を怠ることで企業が被る不利益」であがったリスクなどの損害を与える事故を防ぐための「情報セキュリティ関連規程」となります。
「情報セキュリティ関連規程」は以下の各章から構成されています。
①組織的対策
:情報セキュリティのための管理体制の構築や点検、情報共有などのルールを定めます。
人的対策
:取締役及び従業員の責務や教育、人材育成などのルールを定めます。
③情報資産管理
:情報資産の管理や持ち出し方法、バックアップ、破棄などのルールを定めます。
④アクセス制御及び認証
:情報資産に対するアクセス制御方針や認証のルールを定めます。
⑤物理的対策
:セキュリティを保つべきオフィス、部屋及び施設などの領域設定や領域内での注意事項などのルールを定めます。
⑥IT 機器利用
:IT 機器やソフトウェアの利用などのルールを定めます。
⑦IT 基盤運用管理
:サーバーやネットワーク等の IT インフラに関するルールを定めます。
⑧システム開発及び保守
:独自に開発及び保守を行う情報システムに関するルールを定めます。
⑨委託管理
:業務委託にあたっての選定や契約、評価のルールを定めます。
⑩情報セキュリティインシデント対応ならびに事業継続管理
:情報セキュリティに関する事故対応や事業継続管理などのルールを定めます。
⑪テレワークにおける対策
:テレワークのセキュリティ
関連資料URL:中小企業の情報セキュリティ対策ガイドライン
付録5:情報セキュリティ関連規程(サンプル)
「情報セキュリティ関連規程」を策定するだけではなく、ルールが守られているか、改善点はないかなど、セキュリティ監査を行うことも重要です。
プラスエスが提供している「Security Action +(プラス)」も中小企業の情報セキュリティ対策ガイドラインに則って各企業・団体様にのセキュリティ対策をアドバイスさせていただいています。
結論:情報セキュリティ関連規程の策定とセキュリティ監査でPDCAをまわそう!
プラスエス(+S)はお客様にさまざまな”S”を提供します。
Satisfaction、Solution、System、Support、Security、Smile & Sun