「中小企業の情報セキュリティ対策ガイドライン」にみる、段階的な施策の実施のヒント
【今日のポイント】
情報セキュリティ(サイバーセキュリティ)は、今や大手企業だけの課題ではなく、行政も中小企業向けの施策を進めていますが、
中小企業庁や(独)情報処理推進機構のサイトでは、その施策を導入するうえで、段階的に進めるための方法も具体的に提示しており、
情報セキュリティ以外の施策導入などにも参考になるものと、まずは一読をお勧めする次第です。
1.「中小企業の情報セキュリティ対策ガイドライン第3.1版」の公表
先月になりますが、2024年7月12日に独立行政法人 情報処理推進機構(IPA https://www.ipa.go.jp/index.html)は、表記のガイドラインを公表しました。
公表サイトはこちら
https://www.ipa.go.jp/security/guide/sme/about.html
同ガイドラインの概要資料はこちら
『中小企業の情報セキュリティ対策ガイドライン第3.1版_概要説明資料』
https://www.ipa.go.jp/security/sme/f55m8k0000001wp7-att/000062413.pdf
上記概要の冒頭には、同ガイドラインを以下のように紹介しています。
(引用は『』でくくります。改行は筆者挿入。以下同様。)
上記のように、ひな形や、簡易的なチェックリスト『情報セキュリティ自社診断』などの関連資料も豊富に掲載されていますので、
中小企業のIT関連担当者の方など中小企業自身だけでなく、
中小企業と取引される方や支援者の方も、どのような対応が中小企業にも求められているかを把握するために有効かと思います。
情報セキュリティは重要とは聞いて(知って)いるが、何をすれば良いかよく分からないという方は、まずは、上記の概要版をご覧になると、情報セキュリティ対策の全体像が把握しやすくなるのではないかと一読をお勧めする次第です。
2.段階的なセキュリティアップの勧め
同ガイドラインについては、中小企業庁の、『中小企業の情報セキュリティ』サイト(https://www.chusho.meti.go.jp/keiei/gijut/security.html)でも紹介されていますが、
同サイトでは、『セキュリティ対策のステップアップ図(イメージ)』と題して、
以下の4つのステップに分けて、『できるところから始めて段階的にステップアップ』していくことを図解も入れて説明しています。
Step1 できるところから始める(「情報セキュリティ5か条」の社内配布など)
Step2 組織的な取り組みを開始(「情報セキュリティ自社診断」による現状把握と今後の取り組む内容を決める
この、Step1とStep2において、情報処理推進機構では、「SECURITY ACTION」(セキュリティアクション)と呼ぶ、中小企業自らが、情報セキュリティ対策に取組むことを自己宣言する制度を提示しています。
Steo3 本格的に取り組む(情報セキュリティ関連規定の整備を含む、セキリティマネジメントの体制強化など)
この段階では、情報処理推進機構は、情報処理安全確保支援士などの専門家が登録されているセキュリティプレゼンターによる普及啓発活動を推進していると、上記の中小企業庁サイトでは紹介しています。
Step4 より強固にするための方策(必要な対策の策の実施と支援制度について)
この段階では、より強固な情報セキュリティ対策に取り組むための、情報収集と共有やウェブサイトの情報セキュリティなどセキュリティ対策を8つの区分に分けて実施すること、そして、情報処理推進機構が、その対応を支援する側も充実させるために、「サイバーセキュリティお助け隊サービス基準」を定め、基準を満たすサービスに「サイバーセキュリティお助け隊マーク」を付与することで普及を促進していることを記載しています。
上記の各ステップの内容は、前述のガイドライン概要版にも記載されていますが、
中小企業庁のサイトは、各ステップの概要と関連資料のリンクも掲載されているので、
この4つのステップの概要の把握に適しているかと思います。
また、各ステップごとのゴール(Step1、2のセキュリティアクションをクリアした際の自社の情報セキュリティ一つ星、二つ星の自主宣言など)も示されており、次のステップに進むための判断基準が明確になることを意図して記載されています。
このように、最終的なゴール(同ガイドラインではStep4)に至るまでの道筋を、自社の現状把握や、まず手を付けるべき最低限の対応などから順に分かりやすく設定することは、
情報セキュリティに限らず、デジタル化などの施策を導入する際の進め方としても参考になります。
3.インプット⇒アウトプット⇒フィードバックのサイクルを螺旋的に回す
新たな施策の導入だけでなく、日々の業務や事業の進め方においても、この段階的な取組方法は適用できる場面は多いかと思います。
特に、社内外と連携する必要性や頻度の高い分野では、最終ゴールを含めたプロセスの全体像を関係者が共有していることが必要となります。
そして、この「着眼大局・着手小局」の方針を実際に進めて行くうえでは、
各プロセス事に自社の現状や外部環境の把握も含めたインプット、対策を決定して実施するアウトプット、対策の結果を振り返って次のステップに進むか、それとも現在のステップで改善を続けるかを検討するフィードバックのサイクルを回しながら、螺旋状にステップアップしてくことが重要と、今回のガイドラインを見ながら改めて感じた次第です。
御社では、施策の導入において、どのようなステップを踏んで勧めていらっしゃるでしょうか?
【今日のまとめ】
最後までお読み頂き、有難うございます(*^^*)!
コメント、ご質問お待ちしております(^o^)!
#情報セキュリティ #サイバーセキュリティ #中小企業庁 #情報処理推進機構 #ビジネス #リスクマネジメント #プロジェクトマネジメント #施策の導入と定着
※>無料のメールマガジンを発行していますのでぜひご登録下さい(^O^)/!
詳しくはこちらから
見出し画像:Jan AlexanderによるPixabayからの画像
この記事が気に入ったらサポートをしてみませんか?