目次
はじめに
今回は情報セキュリティガイドラインを社内に浸透させるための方法をご紹介する「実践編」です。
情報セキュリティガイドラインを策定したとしても、それが社内に浸透されていなければ、意味がありません。
ガイドラインに記載する内容は、誰でもわかるような内容ではないと思うので、策定したガイドラインを「読んでおいてくださいね~」と言っても、社内に浸透することはないでしょう。
つまり、社内の方々の理解に対するハードルをいかに下げて周知するかがミソになります。
展開の流れ
一度に新しいことをいっぱい始めると、心理的ハードルも高くなりますし、混乱を招く恐れがあるので、
「できるところから進めていく」ことを大前提とします。
1.情報セキュリティ5か条を推進します
必ず実行しなければならない、情報セキュリティに関する重要な対策が5つ挙げられていますので、全従業員に対してこれを周知徹底します。
周知する際は、「何をすれば良いのか」「どこを確認すれば良いのか」が分かるように資料を作成します。
・OSやソフトウェアは常に最新の状態にする
・ウィルス対策ソフトの導入
・パスワードを堅牢なものにする
・ファイルなどの共有設定を見直す
・脅威や攻撃の手口を知る
2.管理体制の構築と、情報セキュリティガイドラインの策定をします
下記は1例ですが、管理体制を定めることで、責任をもって推進してもらいます。
・最高情報セキュリティ責任者:代表取締役
・情報セキュリティ管理責任者:IT部門の役員または管理職
・情報システム管理者:IT部門の管理職または担当者
・情報セキュリティ委員:各部署より選出(管理職であればなお良い)
また、セキュリティガイドラインの中身については下記にご紹介しております。
情報セキュリティガイドラインで記載すべき内容について
3.自社の状況を確認します
自社内で各従業員に対してアンケートを行い、セキュリティに関する認識を確認します。
ここでは匿名として、真実を書いてもらうようにします。これは、定期的に行う必要があります。
4.アンケートの結果を確認して、現状を認識します
現状を認識することで、どういった教育に力を入れなければいけないかを確認します。
5.ドキュメントを作成します
USBの持ち出し申請や、フリーソフトの利用申請など、情報セキュリティ管理責任者に対して申請するフォーマットを作成します。
また、資産の管理台帳など、管理するために必要なドキュメントを作成します。
※できるだけ紙は使わないようにしましょう
6.教育資料を作成し、周知徹底します
社内のルールを徹底するべく、業務に沿った「こういった時どうするのか」が視覚的に分かりやすい資料を作成し、周知します。
※できるだけ紙は使わないようにしましょう
7.管理台帳に現在の情報を記載していきます
5で作成したドキュメントを利用して、資産管理などを行います。
管理する端末が多くなった場合等は、資産管理ツールなどを用いることで自動的に端末の情報を抜き出せたりするので、会社の規模が大きくなれば検討してみてください。
8.技術を用いてセキュリティを向上させます
ここからは、ファイヤーウォールの設定やアクセス管理など、ITインフラの導入に関わった企業やシステム開発会社と相談します。
他にも、できるだけOSを管理しなくて良いようにSaaSを利用したり、クラウドサービスを利用する等、様々なアプローチを行っていきます。
「餅は餅屋」という言葉があるように、ITに関する工数を減らして、その分の時間を本業に費やしてもらうのが良いと私は考えています。
一見は高そうに見えるシステムの導入や、外注であっても、費用対効果が見込める可能性は十分にありますので、
これを機に業務の見直しや自動化・アウトソーシング化を検討してみてはいかがでしょうか。
おわりに
今まで無かった・曖昧だったルールを浸透させることは本当に骨が折れます。ですが、昨今の情報化社会では絶対に軽視できません。
展開をする際にはできるだけハードルを下げて、継続してルールを守れることが重要です。
また、情報セキュリティガイドラインを社内に展開するには、経営者からの推進力が必要です。詳細については下記の記事をご覧ください。
【まとめ】情報セキュリティガイドラインとは
それでは、お読み頂きありがとうございました。
良き情報セキュリティライフを!
