セキュリティ対策が分からない中小企業にアドバイス、IPAが指南書提供:チェックシートから契約書まで
IPAは中小企業が取り組むべき情報セキュリティ対策の具体的な方法をカバーしたガイドラインを公開。自社だけでなく、取引先との契約書にも記載すべき内容なども紹介している。
情報処理推進機構(IPA)は3月18日、具体的なセキュリティ対策方法など紹介する「中小企業の情報セキュリティ対策ガイドライン」を公開した。自社内の対策だけでなく、外部との契約書などに盛り込むべき対策にまでをカバーする内容となっている。
同ガイドラインは、「5分でできる自社診断シート」「中小企業における組織的な情報セキュリティ対策ガイドライン」「委託関係における情報セキュリティ対策ガイドライン」で構成されている。いずれも、情報セキュリティ対策が十分ではない中小企業が対策を強化するために必要な項目を重点的にカバーしたという。
5分でできる自社診断シートは、最低限実施すべき対策内容を経営者や管理者がすぐに把握できるように、25項目のチェックリストで用意した。中小企業における組織的な情報セキュリティ対策ガイドラインでは、顧客情報などの機密情報を取り扱う中小企業を対象に、情報漏えいなどの事故を防ぐために必要な方法を解説する。中小企業として最低限実施すべき対策方法と、企業ごとの環境に応じて用意すべき対策方法をシナリオを用いてアドバイスしている。
委託関係における情報セキュリティ対策ガイドラインは、取引先など外部企業とやり取りする契約書や業務委託書などに盛り込むべき機密情報の取り扱い事項について紹介している。機密情報の指定方法や、機密情報の保持に必要な具体的な対策方法を明示する方法について、実際に交わされる内容を参考に具体的な手順などを用意した。
IPAでは活用方法として、まず5分でできる自社診断シートを用いて現状を把握し、中小企業における組織的な情報セキュリティ対策ガイドラインで具体的な対策を実施する。さらに強化する場合は、ISMSなどに基づいて自社に必要な対策を取り入れ、業務などを外部委託する場合などに必要な対策を構築する手順を推奨している。
公開理由についてIPAは、人的・資金的なリソースに制約がある中小企業では、一般的なリスク分析に基づくセキュリティ対策の構築が難しいといい、ガイドラインは中小企業の経営環境を考慮して実効性が伴えることを目標にしたという。
関連記事
- データベースのセキュリティ対策ガイドラインを更新へ
データベース・セキュリティ・コンソーシアムはセキュリティガイドラインの第2版を公開。情報資産の重要性の基いた対策方法やシステム管理基準などの各種基準との関係を紹介している。 - フィッシング詐欺に遭った場合はどうする? 対策協議会がガイドライン公開
フィッシング対策協議会は、フィッシング被害への対応について消費者と企業向けにガイドラインを公開した。 - IPA、「情報漏えいしたらどうすれば?」をまとめたマニュアルを公開
IPAは、中小企業などで活用できる情報漏えいインシデント発生時の対応ポイント集を公開した。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.