IPAが中小企業向けに情報セキュリティガイドラインを発行しています。
数年前に第一版が出され、その時はそれほどのものではなかったのですが、2016年後半に第二版が作成され、今までと一新したものが出されました。これはなかなか使えるものです。
IPA 中小企業の情報セキュリティ対策ガイドライン
https://www.ipa.go.jp/security/keihatsu/sme/guideline/index.html
【概要】
第1 部 経営者編
⇒経営者への意識付け(情報セキュリティの必要性、トップダウンで実施を 等)
第2 部 管理実践編
1. 情報セキュリティ管理実践の進め方
⇒下記ステップの進め方
2. 情報セキュリティ5か条
⇒とりあえずここから始めよう的な事項(が多い)
3. 5分でできる!情報セキュリティ自社診断
⇒25個の質問に答え、自社の問題点を明確にする
4. 情報セキュリティポリシーの策定
⇒情報資産台帳を作成する(資産価値を登録)
上記3の診断結果や情報資産の脅威の状況から被害発生の可能性を算出
(資産台帳を作成すると自動的に計算されるリスク分析が行われリスク値が算出)
主として脆弱性に対処する情報セキュリティ対策を実施することでリスク値を下げる
用意された「情報セキュリティポリシー雛型」を元に自社にあったポリシーを策定
5. 情報セキュリティ対策のさらなる改善に向けて
⇒PDCAサイクルを回すことでポリシーを見直しセキュリティレベルを上げていく