見出し画像

「中小企業の情報セキュリティ対策ガイドライン」にみる、段階的な施策の実施のヒント

nobu_goto@中小企業の「見えない強み」を可視化し活用するブログ(中小企業診断士・技術士)

【今日のポイント】
情報セキュリティ(サイバーセキュリティ)は、今や大手企業だけの課題ではなく、行政も中小企業向けの施策を進めていますが、
中小企業庁(独)情報処理推進機構のサイトでは、その施策を導入するうえで、段階的に進めるための方法も具体的に提示しており、
情報セキュリティ以外の施策導入などにも参考になるものと、まずは一読をお勧めする次第です。

1.「中小企業の情報セキュリティ対策ガイドライン第3.1版」の公表

先月になりますが、2024年7月12日に独立行政法人 情報処理推進機構(IPA https://www.ipa.go.jp/index.htmlは、表記のガイドラインを公表しました。

公表サイトはこちら
https://www.ipa.go.jp/security/guide/sme/about.html


同ガイドラインの概要資料はこちら
『中小企業の情報セキュリティ対策ガイドライン第3.1版_概要説明資料』
https://www.ipa.go.jp/security/sme/f55m8k0000001wp7-att/000062413.pdf

上記概要の冒頭には、同ガイドラインを以下のように紹介しています。
(引用は『』でくくります。改行は筆者挿入。以下同様。)

『● 中小企業の経営者や実務担当者が、情報セキュリティ対策の必要性を理解し、
情報を安全に管理するための具体的な手順等を示したガイドライン
●本編2部と付録より構成
 ・経営者が認識すべき「3原則」、
  経営者がやらなければならない
  「重要7項目の取組」を記載(第1部)
 ・ 情報セキュリティ対策の具体的な
  進め方を分かりやすく説明(第2部)
 ・ すぐに使える「情報セキュリティ基本方針」や
  「情報セキュリティ関連規程」等のひな形を付録』

『中小企業の情報セキュリティ対策ガイドライン第3.1版_概要説明資料』(独)情報処理推進機構 

上記のように、ひな形や、簡易的なチェックリスト『情報セキュリティ自社診断』などの関連資料も豊富に掲載されていますので、
中小企業のIT関連担当者の方など中小企業自身だけでなく、
中小企業と取引される方や支援者の方も、どのような対応が中小企業にも求められているかを把握するために有効かと思います。

情報セキュリティは重要とは聞いて(知って)いるが、何をすれば良いかよく分からないという方は、まずは、上記の概要版をご覧になると、情報セキュリティ対策の全体像が把握しやすくなるのではないかと一読をお勧めする次第です。

Jan AlexanderによるPixabayからの画像


2.段階的なセキュリティアップの勧め


同ガイドラインについては、中小企業庁の、『中小企業の情報セキュリティ』サイトhttps://www.chusho.meti.go.jp/keiei/gijut/security.htmlでも紹介されていますが、
同サイトでは、『セキュリティ対策のステップアップ図(イメージ)』と題して、
以下の4つのステップに分けて、『できるところから始めて段階的にステップアップ』していくことを図解も入れて説明しています。

Step1 できるところから始める(「情報セキュリティ5か条」の社内配布など)

Step2 組織的な取り組みを開始(「情報セキュリティ自社診断」による現状把握と今後の取り組む内容を決める

この、Step1とStep2において、情報処理推進機構では、「SECURITY ACTION」(セキュリティアクション)と呼ぶ、中小企業自らが、情報セキュリティ対策に取組むことを自己宣言する制度を提示しています。

Steo3 本格的に取り組む(情報セキュリティ関連規定の整備を含む、セキリティマネジメントの体制強化など)

この段階では、情報処理推進機構は、情報処理安全確保支援士などの専門家が登録されているセキュリティプレゼンターによる普及啓発活動を推進していると、上記の中小企業庁サイトでは紹介しています。

Step4 より強固にするための方策(必要な対策の策の実施と支援制度について)

この段階では、より強固な情報セキュリティ対策に取り組むための、情報収集と共有やウェブサイトの情報セキュリティなどセキュリティ対策を8つの区分に分けて実施すること、そして、情報処理推進機構が、その対応を支援する側も充実させるために、「サイバーセキュリティお助け隊サービス基準」を定め、基準を満たすサービスに「サイバーセキュリティお助け隊マーク」を付与することで普及を促進していることを記載しています。

上記の各ステップの内容は、前述のガイドライン概要版にも記載されていますが、
中小企業庁のサイトは、各ステップの概要と関連資料のリンクも掲載されているので、
この4つのステップの概要の把握に適しているかと思います。

また、各ステップごとのゴール(Step1、2のセキュリティアクションをクリアした際の自社の情報セキュリティ一つ星、二つ星の自主宣言など)も示されており、次のステップに進むための判断基準が明確になることを意図して記載されています。

このように、最終的なゴール(同ガイドラインではStep4)に至るまでの道筋を、自社の現状把握や、まず手を付けるべき最低限の対応などから順に分かりやすく設定することは、

情報セキュリティに限らず、デジタル化などの施策を導入する際の進め方としても参考になります。


Trang LeによるPixabayからの画像


3.インプット⇒アウトプット⇒フィードバックのサイクルを螺旋的に回す


新たな施策の導入だけでなく、日々の業務や事業の進め方においても、この段階的な取組方法は適用できる場面は多いかと思います。

特に、社内外と連携する必要性や頻度の高い分野では、最終ゴールを含めたプロセスの全体像を関係者が共有していることが必要となります。

そして、この「着眼大局・着手小局」の方針を実際に進めて行くうえでは、
各プロセス事に自社の現状や外部環境の把握も含めたインプット、対策を決定して実施するアウトプット、対策の結果を振り返って次のステップに進むか、それとも現在のステップで改善を続けるかを検討するフィードバックのサイクルを回しながら、螺旋状にステップアップしてくことが重要と、今回のガイドラインを見ながら改めて感じた次第です。

御社では、施策の導入において、どのようなステップを踏んで勧めていらっしゃるでしょうか?

【今日のまとめ】

・2024年7月に公表された、「中小企業の情報セキュリティ対策ガイドライン第3.1版」は、中小企業においても情報セキュリティ対策が喫緊の課題であることを反映して、豊富な資料を用意している
・さらに早急に対策を進められように、『できるところから始めて段階的にステップアップ』ために、各段階ごとに資料を用意し、全体像を図示するなどの工夫も行っている
・上記のような、最終ゴールと今すぐ着手すべき内容と、両者をつなぐプロセスも示す「着眼大局・着手小局」の具体的な方法を提示し、インプット⇒アウトプット⇒フィードバックのサイクルを回しながら螺旋的に対応をステップアップしていくことは、
情報セキュリティ以外の施策導入などにおいても利用できる方法であり、その視点からも同ガイドライン関連のサイトを見てみることをお勧めする次第です。

最後までお読み頂き、有難うございます(*^^*)!
コメント、ご質問お待ちしております(^o^)!

#情報セキュリティ #サイバーセキュリティ #中小企業庁 #情報処理推進機構 #ビジネス #リスクマネジメント #プロジェクトマネジメント #施策の導入と定着

※>無料のメールマガジンを発行していますのでぜひご登録下さい(^O^)/!
詳しくはこちらから

見出し画像:Jan AlexanderによるPixabayからの画像


この記事が気に入ったらサポートをしてみませんか?