近年におけるITテクノロジーの劇的な発展と、企業経営におけるIT活用度が高まるにつれ、ITの停止・不正利用、または認識の甘さなどから発生する企業情報・個人情報の漏洩・紛失のリスクが高まっています。
中堅・小規模事業者においても、一旦重大な情報漏洩事故が発生すると、大事な顧客の信用を失う、多額の賠償金を要求される、復旧のために多大な工数が必要となる、など経営を揺るがす大問題となりかねません。
しかし現実には、
「情報セキュリティと言っても、何をしたらよいのかわからない。」
「うちは小規模事業者だから、お金のかかることはできない。」
というようなお悩みを抱えている経営者の方々が多いのではないでしょうか?
基本は、
それぞれの企業の事業内容と、取り扱っている情報資産の重要性から、リスクを分析し、それに対応する対策を立てることです。
以下は、情報セキュリティに関する基本的な考え方です。
情報セキュリティの3要素として、俗に「CIA」ということが言われています。
①機密性(Confidentiality)
例えば、情報漏えいを防ぐために、入退室制限、データのアクセス制限等を実施すること。
②完全性(Integrity)
例えば、データの改ざんを防ぐために、アクセス制限や、誤入力を防ぐために入力チェック等を実施すること。
③可用性(Avairability)
例えば、書類や電子記憶媒体の紛失を防ぐために、施錠管理、バックアップの取得等を実施すること。
参考URL
・IPA 独立行政法人 情報処理推進機構
・MSQA ISMS Society