テレワークにおける情報セキュリティのルール・ガイドラインの策定(1)
1ヶ月のアクセスランキング
新型コロナウイルス感染症の影響もあり、テレワークを導入する企業が増えています。会社に行かなくても仕事ができることはメリットである一方で、自宅などで仕事をする場合はこれまでとは違った対応が求められます。その代表的な例が情報セキュリティです。ここでは、組織として統一した方向性で運用できるように、ルールやガイドラインの制定について考えてみましょう。まずは、テレワークではどういう違いがあるのかについて見ていきます。
テレワークにおける情報セキュリティのルール・ガイドラインの策定(2)はこちら
情報の重要度は情報資産の内容によって変わる
組織の規模が大きくなると、扱う情報資産の量も多くなり、全ての情報資産を守ろうと思うと、何もできなくなってしまいます。そもそもインターネットに接続すること自体がリスクですし、外部に営業するときに資料を印刷していくこともリスクです。
そこで、まずはリスクを分析するところから始めます。守るべき情報資産に対して、発生する可能性がある脅威を整理し、脅威の発生確率や、脅威が発生した場合の影響度などを評価してリスクを分析するのです。
たとえば、企業が持つ情報資産は全てが秘密であるわけではなく、ホームページや決算発表のように公開された情報もあります。また、秘密情報であっても、社内で使われているシステムの作業手順や、社内掲示板の情報であればそれほど重要度は高くないかもしれません。一方で、顧客情報や、商品の設計書などの情報は極秘情報として扱われているかもしれません。
これらのレベルは業界や業務、脅威の発生頻度やリスクの大きさなどによって変わってきます。当然、その対策も分けて考える必要があります。企業では「情報セキュリティポリシー」が定められています。ただし、テレワークを想定しておらず、慌ててルールを作成した、これから作成する、という会社があるかもしれません。そこで、組織の情報セキュリティポリシーの必要性と、その作り方について考えてみましょう。
※掲載されている情報は記事公開時点のものです。最新の情報と異なる場合があります。