方針と今後の目標を定める
セキュリティ基本方針を作成している企業は増えました。セキュリティ担当者はこの方針に従い、方針で謳われている内容を自社にとって最適な形で実施するために行動することが求められます。
Point① なぜセキュリティ対策を行うのか?
会社でセキュリティ対策を行う理由を明確に答えられますか?基本方針でよく見かける文章は、『株式会社○○○○(以下、当社)は、お客様からお預かりした(または当社の)情報資産を事故・災害・犯罪などの脅威から守り、お客様ならびに社会の信頼に応えるべく、以下の方針に基づき全社で情報セキュリティに取り組みます。』という内容です。
これらの文章を噛み砕いていくと、以下の取り組みが必要なことがわかります。
| 方針で謳われている求められる取り組みの例 | |
|---|---|
| お客様からお預かりした(または当社の)情報 | 資産管理を行い、情報資産を把握する |
| 事故・災害・犯罪などの脅威から守り | 脅威・脆弱性の把握、リスク分析、対応方針の検討 |
| お客様ならびに社会の信頼に応える | セキュリティ対策の実行 |
上記取り組みを実現するためには、以下の対応が必要となります。
| 取り組みを実現するために必要な対応の例 | |
|---|---|
| 体制の構築 | 役割を定義し、セキュリティにおける責任を明確にする |
| 教育 | 従業員の教育、セキュリティ担当者への教育を行う |
| 事故等への対応 | セキュリティ事故を検知し、対応・復旧が行えるように準備をする |
| PDCAの循環 | 成熟度の向上のため、永続的に計画・実行・評価・改善を行う |
では、これらは何のために実施しているのでしょうか?「事業を成長させるため」、「お客様に安心してもらうため」、「従業員が安全に働けるため」など各社により違いがあることでしょう。
方針と一言で言わず、何のために実施しているのかを明確にしておくことで、各判断をする際に、悩むことが少なくなります。
会社が目指す方向とセキュリティの目指すありたい姿は、同じ方向である必要があります。これにより、リスクに対して自社に必要な適切な対策・対応をとることができます。方向性が合わないと、矛盾が生じ従業員が混乱することになります。