« BPMN | トップページ | 情報セキュリティセミナー »

2008年3月13日 (木)

セキュリティ対策

セキュリティポリシー対策として、既存のセキュリティ規程類を会計士さんにチェックしてもらい、現実的に実施可能なものという観点で見直しを実施した。

厳密に実施可能なものに限定してしまうと、規程としてあまりに寂しい内容になってしまうので、こうありたいという希望も含め見直しをした。

今後、セキュリティ対策のPDCAをまわすにあたり、経済産業省から出している【情報セキュリティ管理基準】を参考に自社独自の管理基準を検討しようと昨年から読んでいた

が日本語が難しく具体的に何をしたらいいのかさっぱり理解できない。

専門家の人に聞いてみたらやはり、全ての企業に添う内容にしているので、表現的にあのようになってしまうとのこと。

それでも理解できないなりに、【情報セキュリティ管理基準】から必要と思われる項目を抜粋して独自管理基準をまとめ、現行の基準に対する修正事項や必要な管理策を洗い出した。非常に根気がいる仕事だったので、進み方も非常に遅い。

約1000弱の管理項目から必要と思われる項目を抽出して内容を自分なりに解釈して対策案をまとめるのに約3ヶ月かかった。

一般的に必要とされる対応策については完了したとして、自社に必要なオリジナルのセキュリティ対策を検討する為に、リスク分析を実施しようと情報資産を洗い出そうとして作業がとまった。保護すべき情報資産とはどのレベルで洗い出したらいいのか、判断ができない。金融系であれば全社レベルで対応を打つ体制がとられているだろうが、製造業では、なかなかそういった体制はとれず、情報部門か特定の部門で対応案をまとめて上層部に提案するような方法になるのではないかと思われる。

なので初めから手厚い予算はないが、セキュリティの対策をおろそかにはできない。

よって問題意識をもった人間がその仕事を抱えることになるが、結局特定の部門の担当者でなんとか出来る仕事ではない。

そういったわけで、リスク分析を自分だけでなんとかすることはあきらめることにして微々たる予算だが専門家の力を借りることにした。

|

« BPMN | トップページ | 情報セキュリティセミナー »

コメント

コメントを書く



(ウェブ上には掲載しません)




トラックバック


この記事へのトラックバック一覧です: セキュリティ対策:

« BPMN | トップページ | 情報セキュリティセミナー »