企業の情報セキュリティ対策で一番最初に行わなければならないことは「情報セキュリティポリシー」の作成です。
これがなければ、どのような対策を行ってよいのかの焦点が定まらず、検討しているうちに予算や労力だけが肥大してきて何も始りません。
「情報セキュリティポリシー」には、セキュリティに関する基本的な考え方や対応策なんかを盛り込んでいきます。
では、どのような内容を盛り込めばよいのか?ですが、以下のような事項になってきます。
・社員の私物パソコンやスマートデバイスは、許可なく社内LANに接続してはいけない
・ウイルス対策ソフトが入っていないパソコンは社内LANに接続してはいけない
・パソコンのログインパスワードは3ヶ月に1回、必ず変更しなくてはいけない
・顧客情報が保管されているパソコンやUSBメモリーは絶対に社外に持ち出してはいけない。
等々です。
それぞれの企業で、情報セキュリティに関する情報の保管や管理方法が異なります。
自社の事情に応じて、「情報セキュリティポリシー」を作成し、経営者や社員のみなさんに理解を得ることが必要ですね。
そして、最低でも年に1度はポリシーが守られているかをチェックし、守られていなければその対策やポリシーの見直しを行うようにしましょう。
そうでないと、いくら苦労して作成した「情報セキュリティポリシー」も絵に描いた餅になってしまいます。
余談ですが、蒼天ではプライバシーマークを取得した際に多くの個人情報保護規定を作成し、その中で情報セキュリティポリシーも盛り込まれました。
そのポリシーに従って、従業員教育や監査、規定や運用の見直し等々を行っています。
プライバシーマークを取得してから早いものでもう10年になります。今、5回目の更新手続きに着手したとこです。
「情報セキュリティポリシー」のサンプルは以下のようなものがありますのでご参考にしてみてはいかがでしょうか。
■JNSA(日本ネットワークセキュリティ協会)情報セキュリティポリシーサンプル