このページでは、組織として実施すべきセキュリティ対策について記載いたします。
このシリーズは、IPAの「中小企業の情報セキュリティ対策ガイドライン」に基づき、中小企業が実施すべきセキュリティ対策について、順番に解説しています。
(目次)
組織としての対策内容
組織としての対策内容は、以前のページで紹介させて頂いたセキュリティ自己診断シートのNo.19~25に該当する部分です。
No19.守秘義務ルールの整備
業務で知り得た情報を外部に漏らしてはいけないことをルールに明記し、従業員に理解してもらいましょう。
No20.従業員へのセキュリティ教育会の定期開催
ルールブックを作ったら、従業員に対するセキュリティ内容の説明会や教育会を定期的に開催しましょう。
定期的に開催しないと、従業員のセキュリティ意識は徐々に薄れていきますので、半年に一回とか年に一回とか、必ず定期的に開催するようにしましょう。
No21.BYOD端末の利用ルールの整備
最近は、個人所有のパソコンを業務で利用する機会も増えていると思います。
個人所有パソコンからウィルスが社内ネットワークに侵入したり、情報漏洩のもととなることが、よくあります。
個人所有のパソコンは、会社資産のパソコンと同等のセキュリティ対策を実施するよう、ルールを整備しましょう。
No22.契約書への秘密保持条項記載ルールの整備
企業間で取引する場合、重要情報をやりとりするケースもあると思います。
万が一、重要情報が漏洩することもあり得ますので、企業間で重要情報をやり取りする場合は、機密保持契約を取り交わすようにルール整備しましょう。
No23.クラウドサービス利用基準の整備
クラウドサービスを利用する場合、サービス事業者がセキュリティを遵守しているかどうかをチェックしたうえで、サービス利用を開始しましょう。
判断基準としては、サービス事業者が公表している情報セキュリティ方針、サービス利用規約、セキュリティ対策内容を確認するとともに、セキュリティに関わる適合性評価制度の認証を取得有無を確認することも有効です。
適合性評価制度の認証を受けていれば、セキュリティ状況を第3者も確認してくれていることになりますので、信用の証となります。以下一覧も参考にしてください。
セキュリティに関する適合性評価制度
・PCIDSS(クレジットカード業界のセキュリティ基準)
・ASPIC(クラウドサービスの安全、信頼性に係る情報開示認定制度)
・TRUSTe(個人情報保護認証)
No24.緊急時の対応体制整備
緊急時の対応体制を整備し、緊急時の対応手順をあらかじめ作成しましょう。
No25.セキュリティ対策のルール化/従業員への明示
セキュリティ対策ルールを整備し、従業員が見える場所に掲載しましょう。
会社の場合、社内ポータルサイトなど、従業員全員が見えるサイトがあると思いますので、そちらにセキュリティ対策ルールを掲載し、従業員に周知しましょう。
