組織が手軽に情報セキュリティを推進するための様々な知識・ノウハウを集めたサイトです。

小さく始める情報セキュリティ管理

  • HOME »
  • 小さく始める情報セキュリティ管理

一般的な情報セキュリティ管理は、ベストプラクティスと呼ばれる規範となるセキュリティ管理策を計画、実施し、トップの強い意志の元、情報セキュリティを推進させます。文字通りトップダウンで行う必要があります。

しかし多くの組織では、担当者が組織のセキュリティレベルの低さを問題視し、ボトムアップ式に情報セキュリティを推進しているのが現状ではないでしょうか。
専任の情報セキュリティ管理者などおらず、仕事の片手間に情報セキュリティ向上に時間を割き、当然資金も不十分な状況で進めているのではないでしょうか。
この様な組織では、一般的な情報セキュリティ管理をそのまま推進するには荷が重く、結局、規範となるセキュリティ管理策も形骸化し、監査など行われず、管理策の見直しも行われないのが現状かと思います。

そこでその様な組織には、この「小さく始める情報セキュリティ管理」をおススメしています。ポイントは計画のフェーズを規模縮小して設定し、実施、点検、見直しのフェーズを手早く回すという点です。

1.計画(Plan)
絞り込んだ小さな計画を立てる
例)一番あってはいけないセキュリティ事故が起きないための対策を検討する
営業部の持出しPCがなくなったときのセキュリティ対策を検討する

2.実施(Do)
小さな計画を実施する
情報セキュリティ管理者が中心となり、策定した計画を実施する。
職員が守るべき規程については、教育・啓発を行い、各職員に実施させる。

3.点検(Check)
小さく実施している対策を点検する。
監査やセルフチェックにより、規程が守られていない点をチェックする。
規程を遵守していない部署に対しては、問題点を指摘する。
同時に規程自体の問題も確認する。

4.見直し(Act)
点検フェーズで確認したことを元に、規程の問題があれば見直しを行う。
再び計画フェーズに移り、計画をする。
このときもう少し計画を増やす
(二番目に起きてはいけない事故対策も盛り込む等)

※計画の量にもよるが、2-3ヶ月に1PDCAサイクルをまわす

■問題点■
・ベストプラクティスに近づくまで時間がかかる
□利点□
・セキュリティ管理者、職員への負荷が少ない(少しづつ向上)
・一時的なコストが少ない
・問題があるところから着手可能
⇒ボトムアップ的に実施可能
コストや人をかけられない中小規模の組織などに向く
ある程度までいったら、抜けが無いように雛型を当てはめる必要がある。

PAGETOP