【連載第4回】組織として取り組む!基本方針の策定と管理体制の構築
前回は今すぐ実践できる「情報セキュリティ5か条」を紹介しました。個人レベルの対策はこれで十分ですが、組織としてセキュリティに取り組むには「方針」と「体制」が必要です。
第4回では、情報セキュリティ基本方針の策定方法と、中小企業の規模に適した管理体制の構築手順を解説します。
なぜ基本方針が必要なのか
基本方針がない組織では、セキュリティ対策が「担当者の個人的な判断」に依存します。担当者が変わると対策のレベルも変わり、一貫性のない対応になりがちです。
基本方針を策定することで、組織全体で「何を守り、どのように守るか」の共通認識が生まれます。
基本方針に盛り込む項目
IPAガイドラインに基づく基本方針の必須項目は以下の通りです。
- 経営者の方針表明: 情報セキュリティを経営課題として認識し、組織的に取り組むことの宣言
- 目的: 何のためにセキュリティ対策を行うのか
- 適用範囲: 対象となる組織、人員、情報資産、設備の範囲
- 管理体制: 責任者と各部門の役割
- 従業員の義務: 遵守すべきルール
- 違反時の対応: ルール違反があった場合の措置
- 定期的な見直し: 方針の改訂サイクル
大企業のような数十ページのポリシーは不要です。A4で2〜3ページ程度で十分です。
管理体制の構築
中小企業の場合、専任のセキュリティ担当者を置くことが難しいケースがほとんどです。以下のような兼任体制でも問題ありません。
最小構成の管理体制
- 情報セキュリティ責任者: 経営者または役員(最終的な意思決定権限を持つ人)
- 情報セキュリティ担当者: IT担当者または総務担当者(日常的な管理を担当)
- 各部門の担当者: 各部門で1名(自部門のルール遵守を確認)
重要なのは、「誰が責任者で、誰が何を担当するのか」を明確にすることです。
方針策定のステップ
- 現状把握: 自社診断25項目で現在のレベルを確認
- ドラフト作成: IPAのテンプレートをベースに自社に合わせてカスタマイズ
- 経営者レビュー: 経営者が内容を確認し承認
- 全社周知: 全従業員に方針を周知
- 運用開始: 実際の運用を開始し、課題があれば修正
まとめ
基本方針は完璧を目指す必要はありません。まずはシンプルなものを策定し、運用しながら改善していくことが大切です。
次回は、守るべき情報資産を明確にする「リスク分析」と、具体的なルールを定める「情報セキュリティ関連規程」について解説します。
まとめ・ご相談
セキュリティ対策の強化をご検討の方は、Security365(セキュリティ運用・SOCライト)をご覧ください。
貴社のIT課題について、まずは60分の無料相談でお気軽にご相談ください。