セキュリティ対策

2021年9月2日 23:22

内部統制評価基準勝ち抜く会社の800のポイント」を活用した内部統制の仕組みづくりでは、内部統制に関わる組織経営のプロセスを８つの側面（カテゴリ）に分けて、質問を通じて具体的に仕組みに落とし込んでいきます。

カテゴリ６．情報セキュリティについて見ています。

セキュリティ対策について確認します。

６．（４）物理的セキュリティ（安全管理）
重要情報の保管、入退室管理等情報の物理的なセキュリティの仕組みは構築・運用されていますか。

独立行政法人情報処理推進機構（IPA）の「中小企業の情報セキュリティ対策ガイドライン」では、できるところから始めようと呼びかけ、まず次の「情報セキュリティ５カ条」に取り組むことを薦めています。

情報セキュリティ５カ条
１．OSやソフトウェアは常に最新の状態にしよう！
２．ウイルス対策ソフトを導入しよう！
３．パスワードを強化しよう！
４．共有設定を見直そう！
５．脅威や攻撃の手口を知ろう！
（出典：「中小企業の情報セキュリティ対策ガイドライン第3版」（IPA））

機密情報の管理・保護も含め、情報セキュリティ対策は、ハードやソフト、仕組みによる物理的な対応と情報を取り扱う人の人的対応に分けられます。

物理的セキュリティ（安全管理）として
・建屋や事務所、倉庫・保管庫、等のエリアへの入場制限・入退出管理
・PC、ネットワーク機器、コピー機など情報ネットワーク機器の管理
・PC、サーバ、ネットワーク上のOS、AP、FWなどの管理
・クラウド等外部サービス
などのほか
・書類や紙類、PCなどの情報機器など重要情報を含む媒体の廃棄
にも注意が必要です。

これらについて、管理・運用手順、管理担当（部署）を定め、関係者に周知し運用します。また、その遵守状況を定期的に点検し、不都合があれば、必要に応じて手順・規則などの見直し・改善を行います。

こうした対策は、業務委託先にも同等の対策を求め、その遵守を定期的に管理することも必要です。

★★

内部統制評価基準改訂版「内部統制評価基準勝ち抜く会社の800のポイント」については、NPO法人内部統制評価機構のウェブサイトをご覧ください。

この記事が気に入ったらサポートをしてみませんか？