メニュー セミナー情報

セキュリティ対策の基礎知識

【第3回】セキュリティで儲ける 〜大口顧客獲得策

経営に資するセキュリティ対策:事業継続
当記事は、2010年3月4日の「セキュリティで儲ける」セミナーでお話した内容に準拠しています(後編)
また、公的に公表されている情報セキュリティガイドラインや、ISMSのガイドラインから引用加筆しています

セキュリティ対策で儲ける(前編)で事業継続の視点から、取引先を選定し管理する義務を負う大企業は、

  • 取引先の商品サービスの品質確保
  • 取引先の商品サービスの安定供給
  • 取引手続きの迅速性(システム対応など)

といったことを確認するために、普通、取引先の事業継続性や内部統制のあり方を見なければならないと書きました。

後編では、
人的にも、資金的にも、技術的にも、セキュリティ対策・内部統制にかける資源に苦しむ中小零細企業にとって、

◆この評価に見合うレベルに近づけ
◆費用対効果を最大にし
◆かつ、経営を圧迫しない程度のコストに抑える

ための対策について、記事にしておきたいと思います。

まず、やるべきことは、体制づくりです。

セキュリティ対策:体制図

誰がやるのか、責任と権限、マネジメントの仕組みを明確にします。
『うちは、こんな体制で、セキュリティ対策・リスク対策に取り組んでいます』と主張できるようにしておいてください。

次に、公表する文書として、セキュリティポリシーをつくります。
『対策って文書を作るんでしょ・・・それができないんです!守れないし・・』とおっしゃる方もおられましょうね。

文書の構成を整理すると、下の絵のようになります。

ポリシー

セキュリティポリシーは、指針と概要の表明といった位置づけで、次のような内容を記載して、Webサイトで公表されると良いでしょう。

(1)趣旨・目的
(2)適用範囲
(3)位置付け(社内の他の規定類との関係や企業理念等との関係)
(4)セキュリティ方針
(5)運用体制
(6)監査体制
(7)違反者への罰則

※ 守るべき情報資産を洗い出したあと、変更してもかまいませんから、まずは、
  ・ やるんだという意思表明
  ・ どの程度やるかという確認
  ・ 罰則も含めての推進と点検の体制
 を明らかにしましょう。

外部に公表するのは、ここまでです。

いくらなんでも、実際にどのような運用をしているかや、どんな価値のある情報を持っているかは、公表すると大変なことになりますから!!!!

そして、社内にどんな守るべき情報資産があるかを洗い出します。
各情報資産について、

  • 失くすと(または洩れると)、どんな影響があり、損害がでるか
  • どのくらい失くしやすいか(洩れやすいか)

を考えて、どんな風に守るかを検討します。

何が何でも、100%の対策をと考えると大変ですが、本格的対策に時間やお金がかかるものについては、リスクは、防御柵的『ここに落とし穴があるぞ=』と、社内で認識周知することも、立派な対策です。

次に、気づいたリスクを小さくする、回避する、消すための取り扱い手順を決めましょう。
このとき、規程を定めるという気負いや、規程は分厚いファイルであるべきとかいう既成概念は捨ててください

リスクレベルごとに、情報の媒体(紙、ディスクなど)ごとに
 ・ 鍵のついたロッカーに必ず保管しましょうといった約束
 ・ もしものときの持ち出し手順
 ・ 何かあったときに気づく体制
をシンプルな決め事にされることをおススメします。

最後に、これらがきちんと守られているかを点検する、見回り体制を定めます。

誰かが、守られているかどうか、例外がたくさん発生していないかどうかを確認する仕組みがないと、なあなあ的規則化してしまって、実際には、何の役にも立たないルールとなってしまいますので、ここ、とても大切です!!!

日々の点検と、点検がきちんとできているか、適切かを診る、年に一度の監査とが、この見回り体制の内容となります。

これによって、継続的にセキュアな体制を維持していくのでございます。

1.体制づくり
2.セキュリティポリシー作成
3.情報資産(リスク)の洗い出し
4.情報資産(リスク)の取扱い方を決める
5.仕組み運用の点検と監査の仕組みを決める

とまとめてしまうと、敷居が高く感じられるでしょうが、実際に実施することは、難しいことでも、お金のかかることでもありませんから、是非、取り組んでみてください。

そして、大企業さんとの取引時には、『うちは、こんな姿勢で、こんな取り組みをしています』と、想定される効果とともに、商品以外の利のご提供として、主張ご提案されてくださいませね♪

案外、大企業さんもお困りの部分ですから、自信を持って、お取り組みください。

経営に資するセキュリティ対策:事業継続
当記事は、2010年3月4日の「セキュリティで儲ける」セミナーでお話した内容に準拠しています(後編)

国が認定する公的な支援機関
「認定経営革新等支援機関」に認定されました

インテリジェントパークは中小企業様の経営改善を支援いたします
サイトマップはこちら

読売新聞ニュース・広告 配信システムのご案内

有限会社 インテリジェントパーク
福岡県北九州市小倉北区片野2丁目16-15-2F
TEL:093-932-0025
FAX:093-932-0035
Mail:info@int-park.jp
https://www.int-park.jp/
【文責】代表取締役 荒添美穂

ページトップ

「経営革新等支援機関」
に認定されました

国が認定する公的な支援機関である弊社は中小企業様の経営改善を支援いたします
ご支援内容
経営を支える基礎知識
インテリジェントパーク
セキュリティアクション
セキュリティアクション
よかいばい・かえるばい企業
よかいばい