企業のサイバーセキュリティ対策の指針として経済産業省が公開している「サイバーセキュリティ経営ガイドライン」において、まず指示されるのが「サイバーセキュリティリスクの認識、組織全体での対応方針の策定」である。セキュリティリスクを経営者が責任を負うべきリスクとして認識し、組織全体での対応方針、つまりセキュリティポリシーを策定せよとある。
ポリシーの策定に当たっては、経営者がその対応方針を組織の内外に宣言できるよう、自社の経営方針と整合性を取りつつ、さらに情報システムの保護だけでなく、製造、販売、サービスなど、各事業の内容や状況を加味しながら対応方針を検討することが望ましい。例えば、工場にはサポートが切れた古いOSの端末がある、販売やサービスでは顧客名簿を扱っているなど、様々なリスクがあるからだ。
さらに文書化したセキュリティポリシーは、従業員にも公開した上で教育を行うなどして周知徹底を図る。中には、ホームページなどで広く公開し、企業としての姿勢を示すケースもある。
中小企業向けには、IPAから「中小企業の情報セキュリティ対策ガイドライン」が公開されているので、これを参考しながら、自社に適した情報セキュリティポリシーを策定するのが良いだろう。
中小企業の情報セキュリティ対策ガイドライン:IPA 独立行政法人 情報処理推進機構
https://www.ipa.go.jp/security/keihatsu/sme/guideline/