この記事は(一社)日本経営士会発行の「環境CSRニュース」で配信した記事の一部です。日本経営士会 環境CSRのホームページはこちらへ。 http://www.compact-eco.com
今回のテーマ:「中小企業の情報セキュリティ対策」 シリーズ④
情報セキュリティ診断
前回のニュースでは管理実践編でした。今回は自社又はクライアント先が手軽に診断できる様に25項目の項目について点数を付けて頂き、自社又はクライアント先の情報セキュリティレベルを把握し、弱い箇所の手当をするためのチェックシートの学習です。
各項目の実施状況に応じて「実施している:4点」「一部実施している:2点」「実施していない:0点」で採点し、全項目の合計点によって評価し弱点を把握します。
なおネットワーク接続の複合機やハードデスクの共有設定(No.4)、やウエッブサービス(No.5)、無線LAN(No.9)、クラウドサービス(No.19)など、自社で利用してないものに関する項目は便宜的に「4点」で計算します。
情報セキュリティは些細な対策漏れが事故に発展することが多く、対策が不十分な部署や従業員がいた場合には全体の対策レベルが下がってしまいます。そのため従業員一人ひとりが実施すべき対策は情報セキュリティマニュアルを自社のルールに合わせて編集し、全従業員に配布するなどして周知を高め全体のレベルアップを図り100点を目指してください。
| 情報セキュリティ診断自己採点表 | |||||
| 点数は「実施している:4点」「一部実施している:2点」「実施していない:0点」で採点 | |||||
| No | 診断項目 | 診断内容 | 点数 | ||
| 1 | Part1 基本的対策 | Windows Update(注1)を行うなど、常にOSやソフトウェア等安全な状態にしていますか? | |||
| 2 | パソコンにはウイルス対策ソフトを入れてウイルス定義ファイル (注2)を自動更新するなどどのように、パソコンをウイルスから守る対策を行っていますか? | ||||
| 3 | パスワードは自分の名前、電話番号、誕生日など推測されやすいものを避けて複数のウエッブサイトで使いまわししないなど、強固なパスワードを設定を強化していますか? | ||||
| 4 | ネットワーク接続の複合機やハードデスクの共有設定を必要な人だけに限定するなど、重要情報に対する適切なアクセス制限を行っていますか? | ||||
| 5 | 利用中のウエッブサービス(注3)や製品メーカーが発信提供するセキュリティ注意喚起を確認して社内共有するなど新たな脅威や攻撃の手口を知り対策を社内に共有する仕組みが出来ていますか? | ||||
| 6 | Part2 従業員としての対策 | 受信した不審な電子メールの添付ファイルを案易に開いたり本文中のリンクを安易に参照したりしないように、電子メールを介したウイルス感染に気をつけていますか? | |||
| 7 | 電子メールを送る前に目視にて送信アドレスを確認するなり宛先の送信ミスを防ぐ仕組みを徹底していますか? | ||||
| 8 | 重要をメールで送る時は重要情報を添付ファイルに書いてパスワード保護するなど重要情報を保護していますか? | ||||
| 9 | 無線ランを利用するとき強固な暗号化を必ず利用するなどの様に無線ランを安全に使うための対策をしていますか? | ||||
| 10 | 業務端末でのウエブサイト閲覧や、SNSへの書き込みに関するルールを決めて置くなど、インターネットを介したトラブルへの対策をしていますか? | ||||
| 11 | 重要情報のバックアップを定期的に行うなど故障や誤操作などに備えて重要情報を消失しないように対策をしていますか? | ||||
| 12 | 重要情報を机の上に放置せず書庫に保管し施錠するなど重要情報の紛失や漏洩を防止するための対策をしていますか? | ||||
| 13 | 重要情報を社外に持ち出す時はパスワード保護や暗号化して肌身離さないなど、盗難や紛失対策をしていますか? | ||||
| 14 | 離席時にコンピュターのロック機能を利用するなど、他人に使われないようにしていますか? | ||||
| 15 | 事務所で見知らぬ人を見かけたら声をかけるなど、無許可の人の立ち入りがないようにしていますか? | ||||
| 16 | 退社時に机の上のノートパソコンや備品を引き出しに片付けて施錠するなど盗難防止対策をしていますか? | ||||
| 17 | 最終退出者は事務所を施錠し退出の記録(日時、退出者)を残すなど事務所の施錠管理をしていますか? | ||||
| 18 | 需要情報を廃棄する場合書類を裁断したりデータ消去ツールを使ったり、重要情報が読めなくなるように処分をしていますか? | ||||
| 19 | Part3 組織としての対策 | 従業員を採用する時、守秘義務や罰則規定があることを知らせるなど従業員に秘密を守らせていますか? | |||
| 20 | 情報管理の大切さなどを定期的に説明するなど従業員に意識付けをしていますか? | ||||
| 21 | クラウドサービスなど外部サービスを利用する時は利用規約やセキュリティ対策を確認するなどサービスの安全・信頼性を把握して選定していますか? | ||||
| 22 | 契約書に秘密保持の項目を盛り込むなど取引先に秘密を守る事を求めていますか? | ||||
| 23 | 社内外での個人所有のパソコンの業務利用を許可制にするなど業務で個人使用の端末の利用可否を明確にしていますか? | ||||
| 24 | 秘密情報の漏洩紛失、盗難があった場合の対応手順書を作成するなど、事故が発生した場合に備えた準備をしていますか? | ||||
| 25 | 情報セキュリティ対策(上記1~24など)を会社のルールにするなど情報セキュリティ対策の内容を明確にしていますか? | ||||
| 合 計 | 0 | ||||
| 出典:独立行政法人情報処理推進機構 「中小企業の情報セキュリティ対策ガイドライン」 | |||||
| 自己診断をEXCEL可したチェックシート | |||||
|
注1 Windows Update:マイクロソフト社が提供しているウインドウズパソコンの不具合を修正するプログラム |
|
注2ウイルス定義ファイル:コンピュウターウイルスを検出するためのデータベースファイル「パーソナルファイル」とも呼ばれる。 |
|
注3ウェッブサービス:インターネットバンキング、ソシアルネットワークサービス(SNS)ウエッブメール、などインターネット経由で利用するサービス。 |
次回は「情報セキュリティ構築とまとめ、最終回」です。
●出典元は独立行政法人情報処理推進機構(略称IPA)
今回のシリーズは独立行政法人情報処理推進機構(略称IPA)の「中小企業の情報セキュリティ対策ガイドライン」第2.1版(2017年1月改定A5版54p CD付)を基にしています。
ご関心のある方は 03-5978-7508に電話して申し込んでください。1冊200円だそうです。
IPAは日本におけるIT国家戦略を技術面、人材面から支えるために設立された、経済産業省所管の独立行政法人です。
※コメント投稿者のブログIDはブログ作成者のみに通知されます