情報セキュリティポリシーの策定
クライアントが抱えていた課題
当クライアントは、過去に全社員向けの情報セキュリティポリシーを策定しようとしていたものの、クライアント全体で合意に達することができず、その後内部に周知された情報セキュリティポリシーは存在しないままの状態が続いていました(システム部門のみで適用されるポリシーは別途存在しました)。
その結果、組織としての役割分担・責任範囲が曖昧で、かつ対策を実行するうえで統一された基準も存在しない問題が発生していました。情報システム部門を中心に個別に情報セキュリティの対策を実行していたものの、脅威への対策や世の中のガイドラインへの対応に抜け漏れが発生する、業務の流れがバラバラになる、といった課題を有していました。
抱えているリスクとしては、情報セキュリティの事故が発生するリスクに加えて、仮に事故が発生したときに事故の影響が大きくなるリスク、対応が後手となり社会的な信頼を失うリスクがいずれも高く、サイバーレジリエンスが低い状況となっていました。
【図1】情報セキュリティポリシーが存在しないことによる問題点
レイヤーズのアプローチ
当社が当クライアントを巻き込んで実施した取り組みとして、ISO/JIS Q 27002に準拠した評価項目をもとに、当クライアントのカウンター部門が担当する役割に合わせて項目・重みづけをカスタマイズしたうえで、ドキュメント調査や従業員アンケートをもとにしたクイックアセスメントを1か月間実施しました。
例えば、大きなセキュリティインシデント発生時の準備不足や、情報セキュリティ担当者の各業務プロセスにおける不在など、全社的な情報セキュリティポリシーが存在しないことによって何が起きているかを明確にすることで、情報セキュリティポリシーの必要性を明確にすることができました。
過去の合意に達することができなかった経緯も踏まえて、経営部門への説得材料として、上記の必要性に加えて近年の脅威の高まりや、具体的な被害事例・被害額の解説を行うことで、情報セキュリティポリシーの整備を推進しました。
【図2】クイックアセスメント結果にもとづくポリシーの策定
成果と顧客満足
情報セキュリティポリシーは、IPA(情報処理推進機構)のガイドラインを基礎として、組織的対策および各管理・運用上の役割に対してクライアントの組織体系を落とし込む形で策定しました。その際、過去に個別で策定してきた既存の規則(例:情報機器管理・文書管理)と紐づけて、ポリシーを頂点に体系化する形で整備を進めました。
情報セキュリティポリシーの策定と、経営層に対する情報セキュリティ対策の必要性の訴求を契機として、クライアント内では情報セキュリティ強化の動きが活発化しました。インシデントの発生を想定した訓練や、経営層・管理職への研修、インシデント発生時の外部も含めた体制強化、といった具体的なサイバーレジリエンス強化の対策へと議論が進んでいます。
【図3】あるべきセキュリティ管理に近づけていく流れ
この事例について問い合わせる問い合わせる メルマガ登録
最新情報をお届け! メルマガ登録
関連するコンサルティング事例
-
電子部品メーカーJ社
-
電子部品メーカーにおける基幹システム・生産管理システム再構築
-
- 業界:
- 電子・電機
-
-
大手小売企業R社
-
統合人事システム(COMPANY)導入をコアとした業務オペレーションの高度化・効率化とBPOリプレイスによるバリューアップ支援
-
- 業界:
- 百貨店・小売
-
-
大手産業機械メーカーT社
-
アフターサービス部門における業務改革・システム刷新
-
- 業界:
- 機械
-
-
自動車部品・情報通信部品製造業O社
-
ERP導入をコアとした経営・国内外サプライチェーン改革
-
- 業界:
- 自動車・自動車部品
-
-
大手流通業(複数社事例紹介)
-
大手流通業等における基幹システム再構築プロジェクトマネジメント支援
-
- 業界:
- 百貨店・小売
-
-
建材メーカーおよび家具等の製造・販売事業者V社
-
地方を拠点とした名門企業における聖域なき間接部門による、経営に対する直接的なコスト削減の提供
-
- 業界:
- 素材・化学
-
-
大手電設メーカーJ社
-
電子機器メーカーの新工場立上支援
-
- 業界:
- 電子・電機
-
-
大手電気設備メーカーJ社
-
全社横断の案件進捗・情報共有と、AIを活用したプロセス改革でDXを推進
-
- 業界:
- 電子・電機
-
-
不動産・宿泊施設の企画・設計・施工・運営まで行う まちづくり支援事業T社
-
事業成長を踏まえたバックオフィスの抜本的効率化とDX化支援
-
- 業界:
- 建設・不動産
-