情報セキュリティポリシーの策定
クライアントが抱えていた課題
当クライアントは、過去に全社員向けの情報セキュリティポリシーを策定しようとしていたものの、クライアント全体で合意に達することができず、その後内部に周知された情報セキュリティポリシーは存在しないままの状態が続いていました(システム部門のみで適用されるポリシーは別途存在しました)。
その結果、組織としての役割分担・責任範囲が曖昧で、かつ対策を実行するうえで統一された基準も存在しない問題が発生していました。情報システム部門を中心に個別に情報セキュリティの対策を実行していたものの、脅威への対策や世の中のガイドラインへの対応に抜け漏れが発生する、業務の流れがバラバラになる、といった課題を有していました。
抱えているリスクとしては、情報セキュリティの事故が発生するリスクに加えて、仮に事故が発生したときに事故の影響が大きくなるリスク、対応が後手となり社会的な信頼を失うリスクがいずれも高く、サイバーレジリエンスが低い状況となっていました。
【図1】情報セキュリティポリシーが存在しないことによる問題点
レイヤーズのアプローチ
当社が当クライアントを巻き込んで実施した取り組みとして、ISO/JIS Q 27002に準拠した評価項目をもとに、当クライアントのカウンター部門が担当する役割に合わせて項目・重みづけをカスタマイズしたうえで、ドキュメント調査や従業員アンケートをもとにしたクイックアセスメントを1か月間実施しました。
例えば、大きなセキュリティインシデント発生時の準備不足や、情報セキュリティ担当者の各業務プロセスにおける不在など、全社的な情報セキュリティポリシーが存在しないことによって何が起きているかを明確にすることで、情報セキュリティポリシーの必要性を明確にすることができました。
過去の合意に達することができなかった経緯も踏まえて、経営部門への説得材料として、上記の必要性に加えて近年の脅威の高まりや、具体的な被害事例・被害額の解説を行うことで、情報セキュリティポリシーの整備を推進しました。
【図2】クイックアセスメント結果にもとづくポリシーの策定
成果と顧客満足
情報セキュリティポリシーは、IPA(情報処理推進機構)のガイドラインを基礎として、組織的対策および各管理・運用上の役割に対してクライアントの組織体系を落とし込む形で策定しました。その際、過去に個別で策定してきた既存の規則(例:情報機器管理・文書管理)と紐づけて、ポリシーを頂点に体系化する形で整備を進めました。
情報セキュリティポリシーの策定と、経営層に対する情報セキュリティ対策の必要性の訴求を契機として、クライアント内では情報セキュリティ強化の動きが活発化しました。インシデントの発生を想定した訓練や、経営層・管理職への研修、インシデント発生時の外部も含めた体制強化、といった具体的なサイバーレジリエンス強化の対策へと議論が進んでいます。
【図3】あるべきセキュリティ管理に近づけていく流れ
この事例について問い合わせる問い合わせる メルマガ登録
最新情報をお届け! メルマガ登録
関連するコンサルティング事例
-
外食チェーン企業F社
-
中堅規模の大手飲食グループにおける間接部門業務改革
-
- 業界:
- その他サービス
-
-
大手サービス会社M社
-
業務マニュアルの体系化・再整備と継続的改善の仕組み化による業務品質の底上げ
-
- 業界:
- 金融・保険
-
-
大手精密機器販売・ITソリューションサービス業B社
-
老朽化基幹システムのSAP刷新による業務改革支援
-
- 業界:
- 商社・卸
-
-
先端素材メーカーR社
-
要件定義におけるIT全体デザインの重要性
-
- 業界:
- 素材・化学
-
-
先端素材メーカーR社
-
業務分析を通じたIT投資方針の策定
-
- 業界:
- 素材・化学
-
-
先端素材メーカーR社
-
脱ホストと業務改革を支えた上流工程の重要性、コンサルタント利用法
-
- 業界:
- 素材・化学
-
-
電子部品メーカーL社
-
電子部品メーカーにおける基幹システム再構築
-
- 業界:
- 電子・電機
-
-
国内屈指の百貨店グループN社
-
小売業における共通サービス基盤検討
-
- 業界:
- 百貨店・小売
-
-
大手電鉄系エネルギー事業会社U社
-
電力小売事業の自由化に向けた基幹システムの構築支援
-
- 業界:
- エネルギー
-