情報セキュリティ基本方針を掲げる

本投稿では、セキュリティをこれまであまり講じてこなかった中小企業を対象に、本ガイドラインを活用して、自社のホームページに情報セキュリティ基本方針を掲げるまでのプロセスについてお話したいと思います。

SECURITY ACTION宣言

その前に「SECURITY ACTION宣言」についてお話したいと思います。

「SECURITY ACTION宣言」についての詳しくはSECURITY ACTION宣言公式サイトをご確認いただくとして、ここではその概要のみお伝えします。

「SECURITY ACTION宣言」には「一つ星」と「二つ星」というものがあります。

各々定義は以下の通りになります。

「一つ星」は中小企業の情報セキュリティ対策ガイドライン付録の「情報セキュリティ５か条」に取り組むことを宣言した事業者であることを示すもの

「二つ星」は中小企業の情報セキュリティ対策ガイドライン付録の「５分でできる！情報セキュリティ自社診断」で自社の状況を把握したうえで、情報セキュリティ基本方針を定め、外部に公開したことを宣言した事業者であることを示すもの

「一つ星」と「二つ星」のどちらもSECURITY ACTION宣言公式サイトから申請を行います。

「一つ星」で宣言に必要な「情報セキュリティ５か条」（付録1）は以下の通りです。
（中小企業の情報セキュリティ対策ガイドライン第3.1版_概要説明資料より抜粋）

次に「二つ星」では自社診断（下記「情報セキュリティ自社診断（付録3）」参照）をまず行い、その結果もSECURITY ACTION宣言公式サイトから登録します。

情報セキュリティ自社診断（付録3）は以下の通り
（中小企業の情報セキュリティ対策ガイドライン第3.1版_概要説明資料より抜粋）

次のステップは情報セキュリティ基本方針を定め、外部に公開したことを宣言することになります。

このときに必要になるのが、情報セキュリティ基本方針サンプル（付録2）になります。

Word版ですので、○○の箇所を適宜更新して、自社版の情報セキュリティ基本方針を作成することができます。

これを自社のホームページの掲示して公開します。

ここまでできたら、「二つ星」の申請をSECURITY ACTION宣言公式サイトから申請を行います。

自社ホームページ上に情報セキュリティ基本方針が掲示されていることを確認されるため、申請から認定まで2週間ぐらい必要だったと思います。

ちなみにIT導入補助金では、「一つ星」を取得していることが、申請条件になっており、「二つ星」だと加点項目になります。

当サイトでも情報セキュリティ基本方針を掲示しています。

情報セキュリティ基本方針ページは以下のバナーをクリックしてください。

こんな感じかという参考にはなります。

お気軽にご連絡ください

中小企業診断士として経営相談、小さなIT対応相談もOKです！

社長のお悩みお聞かせください！