プラクティス1-2 最新の脅威によるリスクに対応するための、セキュリティポリシーの改訂・共同管理
背景
従業員数600名規模の製造業であるB社では、総務部が情報保護の観点からセキュリティポリシーを定めているが、サイバーセキュリティ対策を推進する情報システム部の部長は既存のセキュリティポリシーがサイバーセキュリティリスクに対応しておらず、改訂の必要性を感じていた。
そのため、年に1回の全社的な規程類の改訂タイミングに合わせ、既存のセキュリティポリシーの改訂ポイントを洗い出し、所管する総務部と改訂に向けて連携するとともに、改訂後のセキュリティポリシーを総務部と情報システム部で共同管理することとした。
B社の実践のステップ
情報システム部長が実践したステップは下記の2点である。
①既存のセキュリティポリシーにサイバーセキュリティの観点で新規追加する内容を整理する
②総務部と協力の上、既存のセキュリティポリシーを改訂する
B社の実践内容
上記のステップに則り、情報システム部長は自社のセキュリティポリシーへサイバーセキュリティリスク対応を追加した。また、規程類の管理を共同で実施することを契機に、情報システム部と総務部が従業員向け教育へサイバーセキュリティの観点を追加するため、共同検討を始めた。
表1 B社における既存のセキュリティポリシーの主な改訂ポイント
| 改訂の観点 | 改訂(新規追加)した内容 |
|---|---|
| 想定する代表的なリスク | 外部攻撃によるシステム停止や誤作動 |
| リスク管理プロセス | (既存のリスク管理プロセスに則る) |
| リスク管理体制 | 平時、有時における体制と役割を定義 |
| 技術的な対策 | 重要なシステムに対する多層防御を定義 |
| 従業員への要求事項 | 標的型メール等への対応方法とインシデントの予兆の速やかな方向を規定 |
図1 B社の規程体系図の参考イメージ