情報セキュリティ対策って何か難しそうで、それが売上に直結する訳ではないので、ついついそのうちに、来年、また来年と後回しになってしまいますね。
目に見えて情報漏えいなどの事故があればそれこそ急いで対応を行うでしょうが、何もなければつい後回しになってしまうのも無理はないかと思います。
しかし、何から手を付けたらいいのかよく分からないのも情報セキュリティ対策の現実です。
決して、セキュリティ対策機器やソフトを入れることが情報セキュリティ対策ではありません。
その前に、社内ルールの策定や従業員に対する情報セキュリティ教育がなければ、高価なセキュリティ対策製品を導入しても効果が限定的となってしまう可能性があります。
一般的な情報セキュリティ対策のロードマップは以下のようになります。
- 業務の洗い出し:重要情報を取り扱う業務を明確化。
- 社内ルールの策定:①で洗い出した業務に対してどのようなセキュリティで守るのかの方針(情報セキュリティポリシー)を決定。
- 従業員教育:情報セキュリティポリシーに基づいた教育を定期的に実施。(理解度テストや意見交換があればより効果的)
- 情報セキュリティ製品を導入:情報セキュリティポリシーや従業員教育を補完。
- 情報セキュリティの見直し:①~④を見直し情報セキュリティ対策を強化。
後日、各項目についても詳しく解説させていただきます。