投稿:舩生好幸(ISACA認定CISA、IPA登録 セキュリティプレゼンター)2024.9.10
〇セキュリティ事故が発生した場合に備え、緊急時の体制整備や対応手順を作成するなど準備をしていますか?
起きて欲しくありませんが、コンピュータウイルス感染やサイバー攻撃の被害、重要情報の漏えいなど、情報セキュリティ事故は予想もしないタイミングで発生する場合もあります。
事故が起きてから対応策を考え始めるようでは、諸々のプレッシャーから判断を誤ったり、対応が不十分であったり、対応が後手に回り、さらに深刻な事態になる可能性もあります。
〇セキュリティ事故への備えは平時のうちに
平時のうちに、報道されるセキュリティ事故などを参考に「もし、同じことが自分の会社で起きたら・・・」と想定して、誰がいつ何をするのかをまとめておきましょう。
(対策例)
・重要情報の流出や紛失、盗難があった場合を想定した対応手順書を作成し、従業員に周知する。
・テレワークでウイルス感染、パソコンや書類の紛失、盗難など事故が起きた場合を想定して、連絡先を決め、テレワーク勤務者に周知する。
等。
*上記は、IPA(独立行政法人情報処理推進機構)発行の以下の文書を参考に、筆者の意見も加えて構成しています。
・「5分でできる!情報セキュリティ自社診断」Ver.5.4・設問No.24及び解説
*「5分でできる!情報セキュリティ自社診断」は、IPAの「中小企業の情報セキュリティ対策ガイドライン」のページに「付録3」として登録されており、誰でもダウンロードが可能です。
〇ご参考:「中小企業のためのセキュリティインシデント対応の手引き」
また、IPA(独立行政法人情報処理推進機構)からは「中小企業のためのセキュリティインシデント対応の手引き」という資料も一般公開されています。
この手引きはA4版8ページの小冊子で、万一セキュリティ事故が発生した場合、
・どのようなステップで対応を進めるのか
・対応にあたりどのような事項や情報を整理しておく必要があるか
・相談窓口や報告先はどこか
といったポイントをコンパクトにまとめています。
対応手順を作成する際のご参考になると思います。
*「中小企業のためのセキュリティインシデント対応の手引き」も、IPAの「中小企業の情報セキュリティ対策ガイドライン」のページに「付録8」として登録されており、誰でもダウンロードが可能です。
(Primary-f/向実庵 代表)
<ご案内>
Primary-fでは、事業者様の「人と事業を守る」ため、中小企業庁及びIPAが推進する「できるところから始めて段階的にステップアップ」の取り組みに沿った情報セキュリティ関連サービスをご提供いたします。
詳しくはこちらよりお入りください。
Comments