このページでは、組織として実施すべきセキュリティ対策について記載いたします。
このシリーズは、IPAの「中小企業の情報セキュリティ対策ガイドライン」に基づき、中小企業が実施すべきセキュリティ対策について、順番に解説しています。
とらくんセキュリティは外部ベンダーさんに頼んでも料金が高いから、費用削減できるところは削減していこう!
組織としての対策内容
組織としての対策内容は、以前のページで紹介させて頂いたセキュリティ自己診断シートのNo.19~25に該当する部分です。
せんせい会社全体に影響する対策が組織としての対策だね。
No19.守秘義務ルールの整備
業務で知り得た情報を外部に漏らしてはいけないことをルールに明記し、従業員に理解してもらいましょう。
No20.従業員へのセキュリティ教育会の定期開催
ルールブックを作ったら、従業員に対するセキュリティ内容の説明会や教育会を定期的に開催しましょう。
定期的に開催しないと、従業員のセキュリティ意識は徐々に薄れていきますので、半年に一回とか年に一回とか、必ず定期的に開催するようにしましょう。
No21.BYOD端末の利用ルールの整備
最近は、個人所有のパソコンを業務で利用する機会も増えていると思います。
個人所有パソコンからウィルスが社内ネットワークに侵入したり、情報漏洩のもととなることが、よくあります。
個人所有のパソコンは、会社資産のパソコンと同等のセキュリティ対策を実施するよう、ルールを整備しましょう。
No22.契約書への秘密保持条項記載ルールの整備
企業間で取引する場合、重要情報をやりとりするケースもあると思います。
万が一、重要情報が漏洩することもあり得ますので、企業間で重要情報をやり取りする場合は、機密保持契約を取り交わすようにルール整備しましょう。
No23.クラウドサービス利用基準の整備
クラウドサービスを利用する場合、サービス事業者がセキュリティを遵守しているかどうかをチェックしたうえで、サービス利用を開始しましょう。
判断基準としては、サービス事業者が公表している情報セキュリティ方針、サービス利用規約、セキュリティ対策内容を確認するとともに、セキュリティに関わる適合性評価制度の認証を取得有無を確認することも有効です。
適合性評価制度の認証を受けていれば、セキュリティ状況を第3者も確認してくれていることになりますので、信用の証となります。以下一覧も参考にしてください。
セキュリティに関する適合性評価制度
・PCIDSS(クレジットカード業界のセキュリティ基準)
・ASPIC(クラウドサービスの安全、信頼性に係る情報開示認定制度)
・TRUSTe(個人情報保護認証)
No24.緊急時の対応体制整備
緊急時の対応体制を整備し、緊急時の対応手順をあらかじめ作成しましょう。
No25.セキュリティ対策のルール化/従業員への明示
セキュリティ対策ルールを整備し、従業員が見える場所に掲載しましょう。
会社の場合、社内ポータルサイトなど、従業員全員が見えるサイトがあると思いますので、そちらにセキュリティ対策ルールを掲載し、従業員に周知しましょう。
せんせい組織全体の対策で大切なのは従業員へのルール説明と教育だよ。ルールを作った人だけが理解していてもセキュリティは向上しない。従業員の人たちが理解できるよう粘り強く説明していこう!
まずは、お気軽にご相談ください
対話することを大切に、最適な解決策を共に考え、ご提案いたします。
投稿者プロフィール
-
人生理念は「やさしい世界をつくる」
しあわせ組織クリエイターとして、人のしあわせを実現するお手伝いをしています。
保有資格:国家資格キャリアコンサルタント、メンタルヘルスカウンセラー、ITコーディネーター、情報セキュリティスペシャリストなど
最新の投稿
ブログ2025年11月11日優秀な若手が辞めていく理由──「退屈」という言葉の裏にある本音- ブログ2025年11月7日URLを入れるだけで会社紹介動画ができる!
- ブログ2025年11月6日ブリーフセラピー「問題を見つけるより、変化を起こす」
- ブログ2025年11月4日ChatGPTに社内情報を学習させていませんか?
