SPN BIZ Info.
情報管理体制簡易診断とは
情報管理体制簡易診断により、情報セキュリティ上のリスクを洗い出し、改善策の助言をします。
情報管理体制簡易診断は45問のチェック項目に基づく診断で、情報管理上のシステム環境やルール・運用状況について、安全管理措置、普段の点検状況等、7項目から実効性を総合評価し、改善策についてアドバイスします。
実施要領
診断形式:当社独自作成のチェックリストを用いたヒアリング形式
所要時間:1時間30分から2時間程度
診断から報告までの期間:2週間程度
診断結果:項目ごとの整備レベルおよび評価を「診断結果報告書」にてレポートします。
貴社の取り組み状況をわかりやすく数値化するとともに、当社が独自に設定した
「あるべき姿」に対する達成度(A~Eの5段階で評価)とともにご報告いたします。
事例:情報管理体制の見直しを検討していたA社
① 診断を受けようとした経緯
A社では、過去に大きな情報セキュリティ上の事故やトラブルは発生していないものの、メールの誤送信やファイルの誤破棄などが度々確認されていました。担当者様はこのような事故を減らしていく必要性を感じていたものの、まずはどのような対処をしていけばよいか、わからずにいました。そこで、担当者様は、自社の情報管理体制で手当てすべきことを把握するために、当社の情報管理体制簡易診断を受けることとしました。
② 診断結果
診断の結果、総合評価はD評価(5段階のうち下から2番目)でした。評価内容としては、特に、規程と運用実態に乖離がある状況で、また、管理する情報資産の把握・対応の優先順位付けなどが不十分であることが主な体制見直しの項目としてあげられました。
評価のポイント
- 個人情報管理規程やマニュアルは整備されていましたが、その存在を認識しておらず、特定の現場ではほぼ遵守されていませんでした。また、関連する規程が10年にわたり更新されておらず、規程間の矛盾が生じたりしている状況でした。
- チェック表を用いて、情報の管理状況が確認されていました。しかし、実態は、確認作業が形骸化しており、これに対し、何ら是正されていない状況でした。
- 顧客情報や営業情報へ大半の従業員がアクセス可能な状態となっており、適切なアクセス権限を付与するか否かを再度検証する必要がありました。また、退職者や異動した従業員の権限の削除やアクセス状況のモニタリングといった技術的な安全管理体制の基本的な部分の見直しが必要な状況にありました。
報告書(サンプル)
③ 改善に向けて
- 関連規程を含む全体的なルールの整備については、適宜、当社と相談しながら改訂作業を進めていくこととなりました。併せて、令和2年個人情報保護法改正に対応するために、当社から実務的な対応の勘所に関し情報提供を行いました。
- 従業員が情報管理に関するルールの意識を統一や扱う情報の重要性を認識してもらうための周知・教育として、社内研修を当社がお手伝いさせていただきました。
最後に
情報資産である顧客の個人情報、従業員の人事情報、会社の財務情報、契約書、社内システムのソースコード等が棄損したり、外部に漏れてしまったりした場合、企業・組織の継続や安定を揺るがすほどの大きなダメージを被ります。自社の情報資産管理体制や運用で、どこに不備があるのか、その改善項目を明確にする必要があります。
皆さん、ぜひこれを機に一度、当社の情報管理体制の簡易診断を受けてみませんか?
