デジタル化が進むにつれ、残念ながらリスクも増加しています。それに伴い、対応する側の負担も増える一方です。これは人類が長年向き合ってきた課題であり、デジタルの恩恵に伴う「負の側面」ともいえます。その代表例が「企業におけるコンピュータウイルス対策」といったセキュリティ対策です。
特に自動車関連の子会社や下請け企業では、厳格なコンピュータウイルス対策が求められています。こうした傾向は以前から見られましたが、2022年のトヨタ関連企業へのサイバー攻撃を契機にさらに強まっています。
弊社のお客様の中にも自動車関連企業が多く、これらのセキュリティ対策の整備は必須です。そこでよく寄せられるのが「情報セキュリティポリシーの策定サポート」に関するご相談です。一般的には親会社が策定した厳格なセキュリティポリシーに従い、関連会社も体制整備が求められることが多いです。
特に中小規模の企業では、情報システム部門がなく、総務部門がセキュリティ担当を兼任しているケースがよくあります。そのため、専門外のデジタル関連のルール作りを迫られることは大変な負担です。
そんな企業様のために、今回、情報セキュリティポリシー策定のポイントを解説していきます。
情報セキュリティポリシーの概要
情報セキュリティポリシーには、社内規定としてのルールのほか、情報資産をどのような脅威から守るか、どのような体制でセキュリティを確保するかなどが記載されます。総務省の指針に基づき、以下の4段階で準備することが一般的です。
- 情報セキュリティポリシー(社内規定)
企業の基本方針を明文化し、「どのような方針でセキュリティを考えるか」など宣言的な内容を示します。
- 情報セキュリティポリシー(運用標準)
規定に基づき、具体的に守るべき内容や禁止事項を運用標準として定めます。運用に伴い変更が生じた場合、改訂されます。
- セキュリティ運用体制(社内組織体制)
セキュリティ責任者を中心に各部門に担当者を配置し、管理体制を確立します。将来的には「社内ITサポートチーム体制」へと発展する可能性があります。
- 情報セキュリティチェックシート
「ポリシーを作って運用しなさい」という上位からの指示を受け、チェックシートを活用して運用エビデンスを残します。
ひな形となるセキュリティポリシーサンプルはインターネット上で多く見つけられますので、ぜひ参考にしてみてください。
次回は「どのレベルまで管理すべきか?」といった疑問にお答えします。どうぞお楽しみに!