企業が情報セキュリティ対策を講じなければいけないのは当然ですが、何を基準に“情報セキュリティ対策が取れている”と言えるのでしょうか?
企業が自信を持って“情報セキュリティ対策が取れている”と言えるために、基準となる5つの取り組みを解説しますので、参考にしてください。
情報セキュリティ対策が取れていると言える基準①情報セキュリティポリシーを策定しているか
情報セキュリティ対策が取れていると言える基準の1つとして、“情報セキュリティポリシー”を策定しているかというのは非常に重要です。
情報セキュリティポリシーとは、簡単に言うとその企業で策定された情報セキュリティの方針、具体的な対策を指す言葉です。
情報セキュリティポリシーは方針や対策を策定するだけでなく、最終的に企業内やクライアント、ユーザーに向けて周知しなくてはいけません。
したがって、“情報セキュリティポリシーに関するガイドライン”などを参考にしながら、正しい策定手順を踏まなくては完成しないのです。
情報セキュリティ対策が取れていると言える基準②情報資産の種類とリスクを把握しているか
情報セキュリティ対策が取れていると言える基準には、企業内における“情報資産”の種類とリスクを把握しているかということも挙げられます。
情報資産とは、企業において資産としての価値を有している情報のことであり、書類やデータベースはもちろん、それらを管理しているシステムも該当します。
また情報資産で発生し得るリスクには、サイバー攻撃や不正アクセスによるウイルス感染はもちろん、情報の漏洩や消滅、紛失などが挙げられます。
守るべき資産と対策すべきリスクを把握していれば、さまざまな情報セキュリティ対策を取りやすくなるでしょう。
情報セキュリティ対策が取れていると言える基準③細かい内部対策を実施しているか
細かい内部対策は、企業における技術的な対策、物理的な対策、そして人的な対策に分けられます。
コンピュータやサーバ、ネットワーク全体を脅威から守るための対策が技術的対策、企業における防犯・防災対策が物理的対策、適切な従業員への指導などが人的対策にあたります。
情報セキュリティ対策が取れていると言える基準④社内全体で意識を強く持っているか
先ほど情報セキュリティポリシーの策定について解説しましたが、セキュリティポリシーはセキュリティ担当者や企業の上層部だけが遵守すればいいわけではありません。
企業で情報資産に触れる機会があるのは、すべての従業員です。
したがって社内全体で情報セキュリティポリシーを遵守するという強い意識を持っているかどうかが、情報セキュリティ対策が取れていると言える大きな基準になります。
まとめ
情報セキュリティ対策が取れている基準と言っても、すべてを実践するのは非常にハードルが高いということがわかっていただけたかと思います。
これらの対策をさらに確実で堅固なものにするために、企業は第三者認証制度の“JAPHIC(ジャフィック)マーク”の取得を目指しましょう。
JAPHICマークを取得していれば、自信を持って個人情報の保護対策が取れていると言えるだけでなく、クライアントやユーザーからも認められることに繋がります。
