この記事は(一社)日本経営士会発行の「環境CSRニュース」で配信した記事の一部です。日本経営士会 環境CSRのホームページはこちらへ。 http://www.compact-eco.com
「中小企業の情報セキュリティ対策」 シリーズ⑤
「情報セキュリティ構築とまとめ、最終回」
前回のニュースでは「情報セキュリティ診断編」でした。
今回は情報セキュリティのまとめです。
当該企業にはどのようなリスクがあるか、まずは棚卸をしましょう。それぞれのリスクはどの程度当該企業にダメージを与えるかリスク値の算定、このリスク値に基づき対策の決定となります。
これらのことが終えると、文章化して、改定をしていきます。
① リスクの棚おろし(情報資産管理台帳の作成)
例えば
個人情報(個人情報保護法で定義)
特定個人情報(マイナンバーを含む個人情報)
取引先から秘密として提供された情報、設計図等
取引先の製品・サービスに係る非公開情報
自社の独自技術・ノーハウ
取引先リスト
特許出願前の発明情報
見積書、仕入れ価格等の顧客(取引先)との商取引等
② リスク値の算定
●①の情報資産管理台帳に機密性、完全性、可用性の視点から項目ごとに髙い順に2.1.0と
重要度評価をしていきます。
機密性:例えば個人情報等は高いが自社製品カタログなどは低い。
完全性:ミスとか改ざんされてないこと。
可用性:許可された者のみが必要な時に情報資産にアクセスできる事をいいます。
2:法的責任が問われる。取引先、顧客、個人に大きな影響がある。事業に大きな影響を与える。
1:事故が企業に大きな影響を与える。
0:事故が発生しても事業に影響を与えない。
●被害発生可能性
3:通常の状況で被害が発生する(いつ発生してもおかしくない)。
2:特定の状況で被害が発生する。
1:通常の状況で被害が発生することはない。
●リスク値の算定=重要度×被害発生可能性
③ リスク対策
リスク値の大きいものから対策を検討します。
●リスクを低減する。
自社で実行できる情報セキュリティ対策を導入ないし強化することで、脆弱性を改善し
事故が起きる可能性を下げます。
●リスクを保有する。
事故が発生しても許容できる、あるいは対策にかかる費用が損害額を上回る場合などは、
対策を講じず、現状を維持します。
●リスクを回避する。
仕事のやり方を変える、情報システムの利用方法を変えるなどして想定されるリスクそのものをなくします。
●リスクを移転する。
自社よりも有効な対策を行っている、あるいは補償能力がある他社のサービス利用することで自社の負担を下げます。
④ リスクの文書化
この様に①から③までの社内ルールを決めたら、社内規定として文書化します。
もちろん、リスク対策はPDCAを回し改訂して全従業員が遵守していくことになります。
●出典元は独立行政法人情報処理推進機構(略称IPA)
今回のシリーズは独立行政法人情報処理推進機構(略称IPA)の「中小企業の情報セキュリティ対策ガイドライン」第2.1版(2017年1月改定A5版54p CD付)を基にしています。
ご関心のある方は 03-5978-7508に電話して申し込んでください。1冊200円だそうです。
IPAは日本におけるIT国家戦略を技術面、人材面から支えるために設立された、経済産業省所管の独立行政法人です。