年間計画を作成する
内部監査や教育について説明を行ってきました。これらを定期的に繰り返していくことでPDCAが循環し、成熟度向上につながります。取り組みをより有意義にするためには、年間計画などを作成し、実施していくことが重要となります。
Point① 年間計画で意識すること
情報セキュリティを向上させるために必要な要素を洗い出し、計画を立てていきます。年間である一定期間だけ意識するものもあれば、毎日意識をするべき項目もあります。
1年間の運用の中で実施していくべき事項
| 実施項 目 |
主な内容 |
|---|---|
| 組織の状況を理解する |
自社の資源(ヒト、モノ、カネ)や、その他の課題・リスク、顧客や株主などから求められているものといった、自分たちの組織について理解する。 参考テキスト:1日目、8日目(主に、組織の成熟度を高める) |
| リスクアセスメント |
資産管理台帳を更新し、潜在するリスクやリスクが顕在化した時の影響の洗い出しを行う。 参考テキスト:4日目、5日目 |
| リスク対応計画 |
重要な情報資産など対応が必要なものを洗い出し、リスク対応計画を策定し管理する。 参考テキスト:6日目、7日目、8日目(主に、組織・人・物理対策) |
| 目的目標を管理する |
運用のゴールとして設定する目標を決めて、スケジュールごとなどで達成までの活動を追って管理できるようにする。 参考テキスト:2日目、8日目(主に、組織の成熟度を高める) |
| 教育 |
定期的な教育の実施などで自社のルールを浸透させ、従業員に理解させる。併せてセキュリティの担当者の教育を行う。 参考テキスト:9日目 |
| 内部監査 |
規程で定める通りに運用ができているか、漏れている運用はないか、もっと改善すべきことはないかを自社で確認する。 リスクアセスメントの結果、対応計画が進んでいるかを確認する。 参考テキスト:9日目 |
| 改善 |
日頃の活動や内部監査を受けて改善点が出てきた場合には、対応を行い、再発防止に努める。 参考テキスト:10日目 |
ISMS認証では上記に加えて、マネジメントレビュー(活動の結果や関係者からのフィードバックを組織のトップへ行い、適切に運用されているか判断を仰ぐこと)や事業継続計画(何らかの事態が発生した際に企業活動を継続・復旧するための計画)なども含まれます。
こんな事例も
年間計画を初めて作る際に、何から行うか悩んでしまうという人は多いのではないでしょうか?PDCAのサイクルで計画を意識するあまり、計画に必要な情報が不足するという問題が立ちはだかります。計画作成に必要な情報を集めるため、Check(評価)を最初にするという企業も存在します。最初に自社の評価をすることで、実態を把握してから計画を立て始めます。公開されているチェックシートを利用したり、社内にある文書類を確認したりと簡単な評価から行い、計画を作成していきます。2年目(PDCA2周目)からは計画、実行、評価、改善のサイクルの中で計画を見直し理想の姿に近づいていきます。
Point② 自社にあった年間計画を作成する
年間計画を作成する際には、自社の会計年度や繁忙期との調整、入社や人事異動のタイミングなどを考慮しないと、忙しくてできなかったなどの結果に陥ります。
年間計画の例①は、4月に新入社員が入社し人事異動等が多くなるパターンを記載しました。繁忙期は上期と下期が分かれる9月頃となります。そのため、参加率を高めたい教育などは繁忙期後に実施します。同じ理由で協力が必要となる内部監査も繁忙期を外して実施します。ただし、次期年間計画作成を年明けから始めたいため、年内で内部監査を終えられるように調整しています。この計画の改善点としては、予算確定と次期計画作成の時期があっていないことです。先に予算が決まるため、予算ありきの計画になりがちです。計画に応じて後にあらためて予算を振り分けることや、追加予算獲得が必要となります。
年間計画の例②は、毎年新入社員が入ってこないため、新入社員教育は年間計画には盛り込んでいません。また、3月から4月が繁忙期となるため、スタートも繁忙期終了後からとなりますが、従業員教育を繁忙期前に行い、意識を高める工夫をしています。今回の例では予算執行は都度承認を得ることとし、計画を作成し、必要な予算を確認ができるようになりました。必要な予算を事前に獲得しておく例①と比べると実態に合わせた計画を推進できますが、予算執行の承認が取れないと計画が実行できないという弱点があります。