解決したい課題 今ある規程を活かして体制を作りたい

情報が4大経営資源の一つとされてから、情報セキュリティの必要性が認知されてきており、すでに情報セキュリティに関する社内ルールを決めている企業は少なくありません。

「情報セキュリティ管理規程」や「情報セキュリティ対策標準」など、名称や記載粒度はさまざまですが、情報セキュリティに関する取り決めを明文化した規程や文書(以下、総称してセキュリティ規程といいます)がある方もいらっしゃるのではないでしょうか。

こうしたセキュリティ規程がすでに社内にある背景として、例えば次のような場合が考えられます。

  • ISMSやプライバシーマークなどを参考にして、自社で作成したセキュリティ規程がある
  • 親会社やグループ会社で情報セキュリティ認証を取得しており、そこで運用しているセキュリティ規程がある
  • すでに情報セキュリティ認証を取得しており、セキュリティ規程を運用している

上記のような状況において、ISMSやプライバシーマークなどの新たな情報セキュリティ認証を取得する際には、「すでにあるセキュリティ規程をどのように利用するか」を検討する必要があります。

社内のセキュリティ規程をそのまま流用するデメリット

新しく認証取得に取り組む際に、「工数削減のために、社内のセキュリティ規程をそのまま流用して体制構築をしたい」と考える方もいらっしゃるかもしれません。
確かに、既存のセキュリティ規程を利用することで、文書作成自体の手間を減らすことができたり、現在の運用をそのまま活かすことで業務フローへの影響が少なく従業員への負担を軽減できる側面もあります。しかし、しっかりと検討しないまま流用してしまうと、次のようなリスクが存在し、仕組みの形骸化や運用負担の増大に繋がってしまうことがあります。

セキュリティ規程の量が膨大になってしまう

これまでご支援してきたお客様の中には、50冊ほどのセキュリティ規程が存在し、どこに何が書かれているかが不明瞭で、運用が形骸化してしまっていた企業様もいらっしゃいます。また、自社のみでセキュリティ規程を作成されていると、不必要な範囲まで過剰にセキュリティ対策を講じてしまっている場合もあり、それらの取り組みを明文化したセキュリティ規程のページ数も膨大になってしまっているケースがあります。

自社の業務実態に即していない

事業内容や業務フローにおいて変更があったにも関わらず、セキュリティ規程の定期的な見直しが行われていないと、セキュリティ規程に記載されたルールが実態に即さないものになっており、従業員が誰もルールを守っていない状況になっている可能性があります。また、親会社やグループ会社には適していても、自社の事業規模や内容には適していないケースもあります。

セキュリティ規程の構造が複雑化してしまう

例えば、すでにプライバシーマークを取得していて、新たにISMS認証を取得する際に、プライバシーマークのセキュリティ規程はそのままに、ISMSのセキュリティ規程を別で作成してしまうと、内容が一部重複したセキュリティ規程が乱立してしまう可能性があります。そのような状態は管理が複雑化してしまいますし、従業員がどのセキュリティ規程を参照すればいいかが分かりにくくなってしまいます。

社内にセキュリティ規程がある場合に検討すべきポイント

情報セキュリティ体制の構築は、実効性があり運用しやすいことが重要です。認証維持の審査に通るだけのために、膨大な量の文書を作成したり、記録を管理していくのでは本末転倒です。自社に最適なセキュリティ規程にしていくために、社内のセキュリティ規程の利用を検討する際は、次のようなポイントを確認しましょう。

  • 必要十分な量になっているか
  • ステークホルダーから求められているセキュリティ基準は満たしているか
  • 自社の実態に即しているか
  • 必要な人が必要な情報を参照しやすいか
  • 難解な専門用語ではなく、分かりやすい言葉になっているか

ただ、過不足のないルールおよびセキュリティ規程構成になっているのかを確認したくとも、「専門的な知見を持った人間がいない」「事業推進のためにセキュリティ対策へ社内リソースを割くのが困難」などが原因で、確認するのが難しいケースも少なくありません。また、例えセキュリティ担当が社内にいたとしても、客観的な立場から専門家の意見が聞きたいというケースもあります。

そのような場合は、信頼できるコンサルティング会社への依頼も選択肢に挙げてみましょう。

LRM株式会社が提供するコンサルティングサービス

当社では、ISMSやISMSクラウドセキュリティ認証など、幅広い情報セキュリティ認証取得のコンサルティングサービスを提供しています。

当社のご支援では、主要なセキュリティ規程はすべて情報セキュリティに特化したコンサルタントが作成いたします。
「社内のセキュリティ規程をベースに認証取得したい」「他認証の規程と統合したい」など、お客様の実態やご要望に合わせて体制構築のご支援をおこないます。

まずはお気軽にお問い合わせください

まずはお気軽にお問い合わせください

TEL03-5719-6234

お電話でのお問い合わせもお待ちしております。
受付:10:00~18:00 (土日祝日、年末年始は除く)