中小企業がセキュリティ対策をするときに、まず最初に目を通すべきものが「中小企業の情報セキュリティ対策ガイドライン」です。
当サイトでは「サイバーセキュリティ経営ガイドライン」についてもご紹介したことがありましたが、この「中小企業の情報セキュリティ対策ガイドライン」の方がより実践的で内容もわかりやすく、付録資料を活用することで、自社のセキュリティ対策規程を整備することが可能です。
また業種や企業規模、セキュリティ対策の進み具合など自社の状況に応じて、活用できるので、これまで全くセキュリティ対策を実施ていなかった企業から、ある程度対策を進めている企業まで利用可能です。
この「中小企業の情報セキュリティ対策ガイドライン」ですが、IPA(独立行政法人 情報処理推進機構)が公開しているもので、2023年4月に3.1版に改定されています。
さっそく内容を見ていきましょう。
下表は本ガイドラインの構成一覧になります。
(中小企業の情報セキュリティ対策ガイドライン第3.1版_概要説明資料より抜粋)
まず第1部経営者編では、新たに関係法令が最新のものに見直されています。
経営者編では、情報セキュリティ対策を怠ることにより、金銭・顧客の喪失、事業の停止、従業員のモラル低下など具体的に被ることになる不利益に関すること、経営者が負うべき法的・社会的な責任、そして経営者が認識すべき課題、必要な取り組みについて記載されています。
またコラムでSecurity Action宣言に関する記載があります。
※当サイトでもSecurity Action宣言二つ星(こちらは実践編に記載があります)を取得しています。
続いて第2部実践編では、テレワークやセキュリティインシデント対応に関する記載が追加されています。
実践編では、まずはできることから始めるということで、情報セキュリティ五か条の紹介、自社診断のための25項目のチェックリストによって自社の状況を把握してから、最終的には組織的なセキュリティ管理規程を構築するプロセスが説明されています。
情報セキュリティ五か条(付録1)は以下の通り
(中小企業の情報セキュリティ対策ガイドライン第3.1版_概要説明資料より抜粋)
情報セキュリティ自社診断(付録3)は以下の通り
(中小企業の情報セキュリティ対策ガイドライン第3.1版_概要説明資料より抜粋)
本ガイドラインは全部でも70ページ程度のものですので、まずは通読をお願いします。
中小企業診断士として経営相談、小さなIT対応相談もOKです!
- Excelでデータ管理しているけど、もっと効率化したい
- システム導入したいけど何から手をつけてよいか……
- ITや経営で気軽に相談できる相手がいれば などなど
|
|
社長のお悩みお聞かせください!
