情報セキュリティ(16) 点検と改善
情報セキュリティ規程が策定されても、それが実行されていなければ意味がありません。規程の実行状況を確認し、実施されていない項目があれば、助言をするなど改善を行います。PDCAサイクルを回していくことになります。
点検においては、SECURITY ACTION宣言の一つ星における、情報セキュリティ5か条を基準にするのも、よいと思います。PCのOSが常に最新のものになっているか、パスワードは強固であるか、などの項目です。
SECURITY ACTION宣言の二つ星会社であれば、情報セキュリティ規程を作成しているでしょうから、規程通りに実施されているかどうかを確認します。重要情報を机の上に放置しない、怪しいメールは添付ファイルを開かないなど、社員へのインタビューやログなどを確認することで、状況を把握できます。
未達成の項目については、具体的な対策を助言します。セキュリティパッチの更新などは、具体的なやり方を指導しなければなりません。
点検と改善は、継続的に行うことが必要です。サイバー攻撃は日々進化していますから、これで終わり、ということはありません。地道な作業ですが、継続的に行うことが必要です。