ベンチャー企業における情報セキュリティの社内基準の作成方法

前へ 次へ
このQ&Aのポイント
  • ベンチャー企業において、情報セキュリティの社内基準が不足している問題が発生しています。
  • 社内におけるノートPCや外付けHDの持ち込み、自宅での作業、USBメモリの個人管理など、情報セキュリティを制御するルールが存在していません。
  • 経営陣のITへの疎さや影響力の不足から、トップダウンでの対策が難しい状況です。情シスがドラフトを作成し、経営陣に提言することで解決を目指しています。
回答を見る
  • ベストアンサー

情報セキュリティの社内基準が無い

今回入社したベンチャーの会社ですが、 情報セキュリティに関する、社内基準がありません。 例えば、 ・他社の人間が、社内にノートPCを持ち込む ・私物の外付けHDを社内に持ち込んで業務をする ・ノートPCを自宅に持ち帰って作業をする ・USBメモリが個人管理(社内に何本あるか、誰も把握していない) などが横行し、ルールとしてこれを制御することができていません。 これらを制御するルールを作成したいと思うのですが、 「ガイドライン」や「標準」となるドキュメントやサンプルなどは ネットで公開されていたりするものなのでしょうか?。 ※大変お恥ずかしいご相談ですが・・ そもそも経営陣がITに疎いうえ影響力が薄く、トップダウンで これらのリスクに取り組み、指示していくことが期待できません。 情シスで何らかのドラフトを作成してそれを提言し、 承認を取り付ければと考えています。

質問者が選んだベストアンサー

  • ベストアンサー
  • hue2011
  • ベストアンサー率38% (2800/7250)
回答No.2

別の方の回答は、全くご存じのない人のようですから、受け止めないでください。 IT系をやっていてISMSの感覚がなければ、交通信号を読めないのに外を運転するようなものです。 あなたの心配はものすごくまっとうです。 ISO27000の認定を受けるのにそこそこの費用がかかるので小さいところはやらない場合が多い。 ただし、手も出ない会社は独自開発なんかはしないで外注で働いているのがほとんどです。 ということはISMSは絶対必要で、発注元のルールに従う必要があるわけです。 その発注元でしっかりしたルール講習をするのが普通です。 ただ、発注が親子でなく、孫請けひ孫請けとなると、それがぼけてくるのですね。 お客がいうならそれに従えばいいや、おれらは考えるのはよそう、となるのです。 それと、細かいところが発注元で微妙に違ったりすると、まあいいやになってしまうことがある。 これは明らかに信頼を失い、品質に影響します。 当然問題が起きます。 これはISMSですから、勝手にルールを決めるわけにはいきません。 よかれと思って決めたものはローカルルールです。 ネットでテンプレートがあるわけではありません。 原則、基本をきっちり守って作る必要があります。 ISO27000を勉強してください。 明確にいえばISO27001です。 で、社内で認めてもらうものではなく、これが原則だからこのようにします、という言い方になります。

semaster
質問者

お礼

有難うございます。 「これが原則だからこのようにします、という言い方」については全くの同意です。 トップが見識が無い以上、こちらから提示して承認をもらう動きになるかと思います。

その他の回答 (1)

noname#199520
noname#199520
回答No.1

>※大変お恥ずかしいご相談ですが・・ 気にしないでいいですよ あなたも知識が無いんだから そもそも情報セキュリティに関わる仕事をしてるんですか?

  1. カテゴリ
  2. ビジネス・キャリア
  3. その他(ビジネス・キャリア)

関連するQ&A

  • クラウドツールの社内導入ルール・基準について

    お世話になります。 クラウドのツールを、企業で導入する際のルールや選定基準などについて、教えてください。 当社は設立10年程度の教育系ベンチャーで、私は情報システム部門で社内SEを担当しています。 ここ最近、事業部門で様々なクラウドツール(今年情報漏洩が発覚したTrelloや、boxなど、、、) をどんどん勝手に入れてしまい、使い勝手がよいツールだと事業部門内でかなりスタンダードになってしまい、いきなり情シス部門に管理を任されるケースがあり困っております。 情報漏洩のリスクや運用面の手間等、いくつかの観点があるかと思いますが、こうしたことを防ぐために、 ・他社がどのようなルールを設けているか ・何か公的な、もしくは有効なガイドラインや導入の基準があれば知りたい ・MDM等を入れることにより制御できるのか 等々、有効な手立てがあればぜひアドバイスをいただけないでしょうか。 ちなみに、ADもMDMも未導入です。 必要な情報があれば加筆いたします。 どうぞよろしくお願いいたします。

  • パスワード管理ツールについての社内での扱いについて

    いつもお世話になっております。 情シス部門で働いております。 パソコンやシステムのパスワードの管理について、取り扱いに注意することは規定では 謳っていますが、実際は守られておらず、社員のノートPCにパスワードが付箋で貼られているのを見かける度にため息をついています。 パスワード管理ツールの使用を推奨または強制すべきではないか? と思うのですが、"ツールに欠陥があったらどうするの?"とか"私物のスマホでパスワード管理されるのも困る"とかの意見もあり、結局は社員任せとなっています。 一般的な情シス部門では、パスワードの管理についてどのような案内や対策などをしておられるのでしょうか?

  • 機密情報取扱に関する社内ガイドライン

    Pマークや機密情報、個人情報等で検索をかけましたが なかなか思っているものがヒットしなかったので、 できる範囲で結構です。教えていただければと思います。 現在、私の勤める会社ではPマークを取得しておりません。 将来的には取得予定でおりますが、今のところは取得するというよりは 社内の機密情報等に関する取扱の意識統一をしたい、といったところです。 つきましては、社内ガイドラインを作成しようと思っているのですが (PCの社外持ち出し規定や、各自のPCローカルに保存できる  情報の限定など) どのような内容で作成したらよいものか、できれば雛形のようなものは 入手できないかなど、検討中です。 自社で行っているガイドラインや、サイトから入手できる雛形など できる範囲でご教授戴ければと思います。 よろしくお願いいたします。

  • 社内LANのPCとデータのやりとりをしたい

    今まで仕事には私物のデスクトップを使っていましたが 仕事用のノートが当たることになりました。 社内LANには私物パソコンは接続できなくなりました。 しかし、仕事に必要なソフトが配布のノートパソコンにない(インストールもできない)ことや ノートパソコンのディスプレイをのぞき込むような姿勢が苦手なため 配布されたノートと私物のデスクトップを接続した上 ノートは起動したまま引き出しにでもつっこんでおく形にして ノートでインターネット、印刷 デスクトップで資料作成 ディスプレイとキーボード、マウスは共通(デスクトップのものを使用)で クリップボードを介するなどして両パソコン間でデータをやりとりして仕事をしたいと考えています。 何か機器を購入すれば可能でしょうか 教えて下さい。

  • 『マクロ』の作成と情シス部門の仕事について

    社員100余人の会社で、情シス部門のリーダーをしています。最近、社内でExcelマクロの作成を迫られる機会が多くなっています。 基本的に、社内のITへの理解やリテラシーは世の平均より低めです。とある社内ユーザー数名が耳学問で、「Excelマクロとはとっても便利なもんだ」という情報を仕入れてきて、個人的な資料をまとめるためのマクロ作成を情シス部門に求めてきています。 情シス部門は、全社的な基幹システム、諸インフラの運用・改良にあたっており、これらシステムへの諸要望では個別最適的な案件は、基本的には断っています。 個人の仕事の部分最適は各個人でがんばってくださいと言っているのですが、取引先に提出するドキュメントだの、サービス精神に欠けるなど言われて困っています。 彼らは、社内でも位が高かったり、ゴネ得を通す部門の人間なのでなかなか引き下がりません。個人ベースでもできる類のものなので、Excelマクロの入門書を紹介しても、「システムの専門家にやってもらいたい」と言って聞き分けがありません。 正直ここで引き受けると、普段メンドーと思っている仕事を、マクロ化してくれと称して、大量に部分最適な仕事を押し付けれることが目に見えています。なにか効果的なお断りの仕方はあるでしょうか?

  • 業務ルール・統制の不在

    親会社から、今の子会社に出向しているのですが、 その無法ぶりに悩んでいます。 私はシステム関連で支援に入ったのですが、 特にIT関連の問題が特に目に付きます。 例えば、IT資産に関して方針や規則が無く、プログラムの得意な社員が 勝手にシステムを作り、それがその社員の部署の業務として稼動しています。 またその作った社員は、その後知らぬ存ぜぬ、で 「あとは情報システム部門(情シス)に管理は任せた」、と 相手に合意無く押し付ける、ということがまかり通っています。 ※プログラムの設計書は今も無く、情シスに引継ぎもされてません 情シスとしては一方的な話で、大抵揉め事となります。 (部長や役員も介入しようとしません・・・) 各社員のPCには、Officeの2003や2010やら色々なバージョンがあり、それぞれに マクロが含まれ展開されてしまっています。 日々「2010だと動かない」などのクレームも多いです。 こうした事を防ぐには、どういった点から考慮し、統制をしていくべきでしょうか?。 自分らが考えているのは、以下の点です。 ・先ずは各社員が(個人が勝手に作ったシステムを含む)使用しているプログラムをリスト化 ・情シスがどこまで保守をするか議論を持って線引き ・情シスを無視して勝手にシステムやプログラミングをしない、ルール作り など・・ かなり情けない状況で、私も始めての経験ケースなのですが、 「こうしてみてはどうか」、などご意見を頂けると助かります。

  • 社内PCのModel選定を自由化するにあたっての注意点

    社内PCのModel選定を自由化するにあたっての注意点 社内SEの者です。 社内で、使うPCを管理しています。ユーザ数は600ほどですが、 PCのModelは情報システム側で指定し、社内設定、アプリを仕込んだMasterDiskをInstallしてユーザに 配布しています。 ところが、このスタイルを維持しようとすると、次の弊害が生まれてきました。 1.取引先へ、情シスで決めたModelでは持ち込めないので、外勤用にもう一台購入するケースあり                             (SONY担当にはVAIOが必要など) 2.CPUの世代が変わっても、Master Diskの開発が終わるまで導入できない  →新技術にキャッチアップしずらくなる そこで、上層部より、「機種選定の自由化案」を出すよう言われました。 しかし、この案を実現するには、次の懸念事項が発生します。 1.購入ルール(機能、スペックなど含)を徹底周知できるか  購入審査の実務を構築する必要があります。違反した際のペナルティも取り決めねばなりません 2.メーカー出荷状態から、エンドユーザが自力で社内設定、アプリインストールをすると設定ミスに  よるトラブルや、SEが質問攻めに合ったり、「不便だ」と反発されないか ただ受けた以上は受命に反対できません。 同じような立場の方で、PCのModelをユーザに選択させている方で、どのような点に注意すべきか アドバイスいただければ幸いです。

  • ネットワーク内のPC、中身を見られる可能性はゼロ?

    私物のノートPCを社内のネットワークに接続しています。マイネットワークを開くと、社内のPCがずらりと見えますが、クリックすると中身が見えるPCもあり、パスワードを要求されるPCもあります。私のPCも見られてしまうか不安です、共有設定などはしていませんが、見られてしまう可能性はありますか?また上記のようなパスワードで保護するような設定はどうやってするのでしょうか?

  • 社内のシステムを整備構築するためには・・。

    先日社内SEとして、再就職したのですが、 この会社は、アプリケーションを導入し、ネットワークもあるのですが、今まで、外部企業におんぶに抱っこ状態だったようで、PCのネーミングルールすら決まっていません(当然資料もありません) 社内の業務アプリケーションを構築する際に、必要最低限のネットワークとセキュリティを、この外部企業が再構築したようですが、PCのネーミングも必要なPCのみにこの外部企業が設定したものがあるだけで、セキュリティーポリシーどころか、ネーミングルールらしいものがありません。 この外部企業が、作成したシステムを安定稼動する為に設定した、社内システムですが、これをベースに全社的に標準化を定め、セキュリティーポリシーの構築、運用まで、出来るだけ早い時期に行いたいと思います。 しかし、いかんせん社内のシステムを一から構築した経験が無く、アプリケーションも外部企業に依頼しながら、でも外部企業はアプリケーションで必要となる部分以外は、ノータッチとなっています。 どんなポイントが必要なのか、どんなところから手をつけたものか、困ってしまいました。 どなたか、社内システムを整備・構築、その後、安定運用するためには、どんな手順で何を決め、何を適用していったらいいのか、ヒントでも結構ですので、アドバイスくださいませ。 よき資料があるようでしたら、それもお教えくださいませ。 宜しくお願いします。

  • 社内CCメールの振り分けができないで困っています

    社内でのCCメール受信について困っています。社内では、メインのデスクトップPCが1台と、各自のノートPCが6台あり、社内ネットワークで繋いでいます。(社員7名) メインのデスクトップのPCはネットワーク管理者の私が主に使うため、私のPCとしても兼用しており、会社に来た全てのメールの管理をするために、アウトルックエクスプレスの受信トレイは、会社のアドレス用1つと、その下に社員個人のアドレス用が7つ、合計8つの受信トレイを置いています。 他の各自のノートPCには、会社のアドレスとそのPCの使用者のアドレス用の2つの受信トレイをそれぞれ置いています。 そこで、困っているのは、社内の誰かが、私を含む複数の社員のアドレスにCCでメールを送った際に、メインのPCを使っている私宛のメールが、私の受信トレイに受信されず、メインのPCにある他の社員の受信トレイにまとまって入ってしまいます。 また、社外からのメールでも、我社の複数の社員にCCで送られたものは、同じように振り分けされずに、CCのうちの誰かの受信トレイにまとまって全部入ってしまいます。 勿論、ルールの設定でCCの振り分けを、各自のメールアドレスで各自の受信トレイに入る設定はしています。各自のノートPCでは、会社と自分のアドレスと受信トレイしか設定していていないからか、受信もれなく問題ないです。 このような状況で、メインのPCでも正しくCCメールがそれぞれの受信トレイに振り分けられる方法はないでしょうか?色々試してみましたが、原因がわからず、どうしても解決出来ません・・・。私宛のCCメールが私の受信トレイには入らないため、いちいち他の人のメールを開かないと、私宛のCCメールが確認できないため、すごく困っています。小さな会社で、全然得意でもないのに、何故かネットワークの担当になってしまい、困っている私に、どうかよきアドバイスをお願いします。長文で申し訳ありません。。。

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する