情報セキュリティ規定整備
「万が一」を起こさないためのルール策定

こんにちは。中小企業診断士 兼 情報処理安全確保支援士の竹原です。
本日は、情報処理安全確保支援士としてのご支援事例についてお話させていただきます。
目次
【情報セキュリティ規定整備サービスについて】
社内の情報セキュリティ規定について、こんなお悩みはありませんか?
情報セキュリティに関する社内規定がない…
どのようなルールを定めればよいのか分からない…
規定が古いままで実態に即していない… ・テレワーク対応 ・BYOD対応 ・監査体制 ・システム構成
こんな時は、実運用に適合した情報セキュリティ規定を策定する必要があります。
次の3つの手順で、情報セキュリティ規定の策定をご支援します。

1.基本方針作成
まずはじめに、基本方針を作成します。これは、会社として情報セキュリティへ取り組む宣言をまとめたものです。
内容としては、下記のようなものを含みます。
経営者の責任
社内体制の整備
社員の取り組み
法令及び契約上の要求事項の遵守
違反及び事故への対応
2.情報セキュリティ関連規定作成
次に、情報セキュリティ関連について具体的なルールを定めます。
内容例は次の通りです。
組織体制
機密データや書類の保存、処分方法
アクセス管理
施錠などの物理的対策
使用ソフトウェア、使用端末の管理
サーバー、ネットワーク管理
委託管理
インシデント対応手順
個人情報管理
3.ハンドブック作成
最後に、社員が理解しやすい内容に規定を要約し、ハンドブックとしてまとめます。
OS、ソフトウェアのアップデート
パスワード管理
アクセス制御
インターネット、電子メール使用時の注意
機密情報の保管、廃棄方法
私用端末に関する遵守事項
インシデントが起こった際の報告先
こちらは情報セキュリティ規定整備サービスの実施スケジュール例です。

上記のスケジュールは一例ですので、ご要望に応じて柔軟にご対応します。
有事の際の報告体制は明確ですか?
ルールは社員に周知されていますか?
ルールは実態に即していますか?
体制を整えておき、「万が一」がないように備えましょう。
Comments