IPA(情報処理推進機構)の「中小企業の情報セキュリティ対策ガイドライン」を基にした、現場で活用しやすい情報セキュリティ関連規程を策定。
背景
納品物に関連するインシデントのクレームを受け取り、その結果、お客様から情報セキュリティに対する取り組みを問われた。
当時の社内の現状は次の通りで、情報セキュリティに対する取り組み姿勢を回答できる状態ではなかった
- 情報セキュリティ関連規程は存在したが、策定当時はコンサルタントに任せっぱなしだっため「ひな形を」そのまま利用したものだった。
- 情報セキュリティは開発部門だけが対応すべきものとの雰囲気があった。
- 情報セキュリティ関連規程の運用推進者が不明確であり、責任者が不在だった。
- 情報セキュリティに関連する予算確保が出来ていなかった
支援を依頼した理由
情報セキュリティで著名な大手メーカー系ベンダー出身でありながら、数々の中小企業に対して「情報セキュリティ関連規程」策定実績のある専門家に依頼
- 取り組み姿勢を示すために、費用も時間も要してしまうISMS等の認証ではなく、登録等の費用がからないIPAが創設した「SECURITY ACTION 」の自己宣言を勧められた(SECURITY ACTION 普及賛同企業でもあった)
- 情報セキュリティ関連規程を定める前に、現場における情報セキュリテへの理解度や取組について確認し、分析後に策定する提案を頂いた
- 情報セキュリティの知見だけなく、委託管理やインシデント対応等の経験も豊富にあった。
- IPAのセキュリティプレゼンタとして登録もされていることから、情報セキュリティ研修の依頼もしやすく、一貫してお願いすることができた。
成果
ヒアリング等の現状把握及び情報セキュリテへの理解度や取組分析結果に基づき、現場に活用しやすい 情報セキュリティ関連規程策定し、SECURITY ACTION 2つ星を宣言。
- 経営層、管理職、現場従業員それぞれに、情報セキュリティ自社診断を実施。役職や部署による情報セキュリティに対する取り組みや認識のバラツキを分析。
- ヒアリングや現場確認による業務運用を確認。
- 情報セキュリティに関して、経営層をトップとした体制と各部署に推進委員の配置を整備
- 1~3を基に、情報セキュリティ関連規程を策定し、2度の説明会を得てブラッシュアップ
- 情報セキュリティ診断の分析結果により弱かった箇所に対して、社内研修を実施
- お客様に、情報セキュリティ関連規程を見直して「SECURITY ACTION 2つ星を公式に宣言」したこと、「社内研修を実施」したことを報告し、ご納得頂いた
今後の展望
- 情報セキュリティに関連して、インシデント管理の他に定期点検を規定に盛り込んで頂き、その重要性についても説明を受けた。
今後はこの定期点検を継続し、情報セキュリティが形骸化しない様にしていく。 - 経営層、管理職、現場従業員それぞれに対する、情報セキュリティ自社診断を継続的に行い、点数の低かった部分について改善を図っていきたい。
