HOME > 経営を良くする > 中小企業のための情報セキュリティQ&A

中小企業のための情報セキュリティQ&A

情報セキュリティのトップページへ

情報セキュリティQ&Aの活用法

情報セキュリティQ&A 情報セキュリティの基礎
予防対策
トラブルが発生したら
認証について

リンク集 公的機関
OS関連
ウイルス対策
ニュース・メディア
総合情報
[ カテゴリー:情報セキュリティの基礎 ]

[Q1-2] 情報セキュリティ対策の進め方

質問

情報セキュリティ対策としては、一般的にはどのようなことを行えばよいのですか。

回答

対策は経営者の理解(認識)、従業員の啓蒙と情報システムの対策が必要です。
経営者が方針を決め、それに必要な「人・物・金・情報」の経営資源を投入し、運用体制を構築・運用・改善を継続的に行うことが必要です。情報セキュリティについてのPDCA(Plan-Do-Check-Action)のマネジメントサイクルを実施することです。
経営者が情報セキュリティの責任者を任命し、「情報セキュリティ運用委員会」等の社内体制を整備します。経営者の関与のもと、情報資産を正しく把握し、情報セキュリティの不備や事故のために被る被害や損害のリスクを認識し、リスクに対する対処する策を検討して、基本方針と運営規定である「情報セキュリティポリシー」を決めます。必要なレベルの対策を判断して、具体的な実務手順である「業務手順書」を作成します。
これに対応した情報システムの見直しと構築、従業員の教育・訓練を行い、運用しますが、必要に応じて運用状態を点検し、方針や手順を見直して「情報セキュリティポリシー」「業務手順書」に反映するがことが大切です。

情報セキュリティの方針(情報セキュリティポリシー)は守るべき対象として(1)システムそのもの、(2)システムが蓄積している情報、(3)情報通信したときの情報、(4)運用状態のレベルを明らかにし、方針と基準、手続きを決め、社内に宣言します。
システムで対処できることの対策を行い、従業員全員の教育を実施して、必要な手順や注意事項を守ってもらいます。事故や事件が起きたときのことも危機管理の観点から事前に対応手順を決めておくとよいでしょう。
また、電子メールやWebサイトのアクセス等の利用状況を記録していることを明示することは、内部要員の犯罪行為の抑止力になります。(2005年7月:吉村)

Q&A TOPへ