セキュリティ対策で儲ける（前編）で事業継続の視点から、取引先を選定し管理する義務を負う大企業は、

といったことを確認するために、普通、取引先の事業継続性や内部統制のあり方を見なければならないと書きました。

後編では、
人的にも、資金的にも、技術的にも、セキュリティ対策・内部統制にかける資源に苦しむ中小零細企業にとって、

ための対策について、記事にしておきたいと思います。

まず、やるべきことは、体制づくりです。

誰がやるのか、責任と権限、マネジメントの仕組みを明確にします。
『うちは、こんな体制で、セキュリティ対策・リスク対策に取り組んでいます』と主張できるようにしておいてください。

次に、公表する文書として、セキュリティポリシーをつくります。
『対策って文書を作るんでしょ・・・それができないんです！守れないし・・』とおっしゃる方もおられましょうね。

文書の構成を整理すると、下の絵のようになります。

セキュリティポリシーは、指針と概要の表明といった位置づけで、次のような内容を記載して、Ｗｅｂサイトで公表されると良いでしょう。

※　守るべき情報資産を洗い出したあと、変更してもかまいませんから、まずは、
　　・　やるんだという意思表明
　　・　どの程度やるかという確認
　　・　罰則も含めての推進と点検の体制
　を明らかにしましょう。

外部に公表するのは、ここまでです。

いくらなんでも、実際にどのような運用をしているかや、どんな価値のある情報を持っているかは、公表すると大変なことになりますから！！！！

そして、社内にどんな守るべき情報資産があるかを洗い出します。
各情報資産について、

を考えて、どんな風に守るかを検討します。

何が何でも、100％の対策をと考えると大変ですが、本格的対策に時間やお金がかかるものについては、リスクは、防御柵的『ここに落とし穴があるぞ＝』と、社内で認識周知することも、立派な対策です。

次に、気づいたリスクを小さくする、回避する、消すための取り扱い手順を決めましょう。
このとき、規程を定めるという気負いや、規程は分厚いファイルであるべきとかいう既成概念は捨ててください。

リスクレベルごとに、情報の媒体（紙、ディスクなど）ごとに
　・　鍵のついたロッカーに必ず保管しましょうといった約束
　・　もしものときの持ち出し手順
　・　何かあったときに気づく体制
をシンプルな決め事にされることをおススメします。

最後に、これらがきちんと守られているかを点検する、見回り体制を定めます。

誰かが、守られているかどうか、例外がたくさん発生していないかどうかを確認する仕組みがないと、なあなあ的規則化してしまって、実際には、何の役にも立たないルールとなってしまいますので、ここ、とても大切です！！！

日々の点検と、点検がきちんとできているか、適切かを診る、年に一度の監査とが、この見回り体制の内容となります。

これによって、継続的にセキュアな体制を維持していくのでございます。

とまとめてしまうと、敷居が高く感じられるでしょうが、実際に実施することは、難しいことでも、お金のかかることでもありませんから、是非、取り組んでみてください。

そして、大企業さんとの取引時には、『うちは、こんな姿勢で、こんな取り組みをしています』と、想定される効果とともに、商品以外の利のご提供として、主張ご提案されてくださいませね♪

案外、大企業さんもお困りの部分ですから、自信を持って、お取り組みください。