2015年末に経済産業省が提供している「サイバーセキュリティ経営ガイドライン」。この中では3原則の一つとして「自社はもちろんのこと、系列企業やサプライチェーンのビジネスパートナー、 ITシステム管理の委託先を含めたセキュリティ対策が必要」と記載されています。
本来であればすべての企業がサイバーセキュリティ経営ガイドラインを参考にしてサプライチェーンでのセキュリティガバナンスを構築していけば良いのでしょうが、ガイドラインの対象は自社で情報システム部門を持つような企業であり、多くの中小企業は当てはまりません。とは言うものの、サプライチェーンでの情報セキュリティガバナンスは重要な要件であり、中小企業も実施が求められます。
これらの課題を解決するための一つの方策として、独立行政法人情報処理振興機構(IPA)が「中小企業の情報セキュリティガイドライン 第2版(ガイドライン)」を配布しています。
ガイドラインの活用範囲
このガイドラインは、サイバーセキュリティ経営ガイドライン同様に経営者の視点と実務者の視点で記載されています。特に、情報セキュリティが経営課題であることを再確認するためのさまざまな要件が記載されており、担当者が情報セキュリティについて経営者に説明するための良い資料と考えます。
これまでは情報セキュリティのサプライチェーンは大企業が実施している情報セキュリティ対策をそのまま実施するように言われていた中小企業も、情報セキュリティの目的を共有することで、自らの組織に最適なセキュリティ対策を実施できるようになると思います。
中小企業の情報セキュリティガイドライン 第2版の構成
本ガイドラインは、サイバーセキュリティ経営ガイドラインをさらに読みやすく実例を取り入れたものであり、中小企業だけではなく大企業の担当者の参考にもなります。
以下のような構成になっており、付録やツールを活用することでガイドに記載されている内容を実践できるようになっているのも特長です。
このガイドラインでは情報セキュリティマネジメントの規範として、JIS Q 27001や27002を参考にしており、ISMS認証を取得している企業とのサプライチェーンが円滑に構築できるようになっています。
このガイドラインを活用することで、これまでに実施してきたセキュリティマネジメントを見直せるだけでなく、これからセキュリティマネジメントを始めるという企業にとっても有用なステップが記載されています。情報セキュリティへの取り組みをどのように始めるべきか、どのような作業があり、どの程度の工数がかかるのかがわからないという担当者に十分に参考になると思います。