リスクコンサルティング
会社のリスク管理に関する様々なお悩みをご支援します
情報セキュリティ基本規程の策定
会社を取り巻く情報リスクは様々です。情報システムやインターネットが企業の運営に欠かせないものとなっている現在、会社のブランドイメージの失墜等の多大な影響を及ぼしかねない情報リスクをどのように低減するか、そのために情報資産をどのように管理し運用するか、社内のルールとして情報セキュリティ基本規程が必要です。
●会社を取り巻く情報リスク例
社内の機密情報が不正に持ち出されたり、紛失してしまうと会社の信頼性に関わる重大な問題になります。
顧客や従業員の個人情報を保管するセキュリティが不十分で外部からの侵入を許してしまうとブランドイメージの失墜や賠償等の影響が出ます。
業務に関わる重要なシステムが障害により停止してしまうと、業務に支障をきたします。事前の対策により可能な限り迅速に復旧できる体制が必要です。
会社のPCがウィルスに感染してしまうと、取引先や顧客にも被害を広めてしまい、訴訟等の問題に発展します。
会社の情報資産をリスクから守るために、
情報の管理方法や運用方法を定めるルール(規程)が必要
●情報セキュリティ基本規程策定のポイント
情報資産を定義する
情報セキュリティ基本規程を定める目的である、守るべき会社の情報資産を定義します。
例)
情報資産をどのように管理するか定める
不正な情報の持ち出しや紛失の防止を防ぐために情報資産の適切な管理・運用方法を定めます。
①保管の仕方(保管方法、管理責任者、情報の使用者)
②社外への持ち出しの可否
③適切な廃棄方法
④定期的なバックアップの必要性
情報資産への適切なアクセス権
①アクセス制御
会社の経営情報や経理データ等の重要情報へのアクセス権は、会社の業務分掌及び権限に合ったアクセス制御が必要です。退職者や人事異動に伴った適切なアクセス権の変更も重要です。
②情報端末への認証
社外で情報端末を紛失した場合や、社内に外部から侵入者があった場合、不正に会社の情報端末を利用されないように、各端末ごとのログインパスワードの設定等の管理が必要です。
③物理的な侵入の防止
重要情報を保管している場所や情報が集まっている場所はセキュリティカードによる入室制限で物理的に侵入を防止する方法があります。また、社外の人がどこまで立ち入って良いのかどうかといったルールや立ち入りが必要な場合の手順等、来客時の対応を定めることも重要です。
システム障害時の対応
早期の業務再開のためにも、障害発生から復旧、及び再発防止策の実施までの一連の手順を定める必要があります。