自治体情報セキュリティ対策支援

自治体情報セキュリティ対策支援 背景

情報セキュリティポリシーの策定や実施手順書の作成が終了している自治体において、庁内への当該ポリシーの浸透及び定着が芳しくないのが実情ではないでしょうか。また情報セキュリティポリシーの策定だけで、実施手順書までは作成していない自治体も見受けられます。さらにこれらの課題だけでなく、情報資産の特定ができない、情報資産を特定してもどこまで対策を行なう必要があるのかなど、悩みの種は尽きません。このような状況が下記の統計からもうかがい知ることができます。特に市区町村において、実施の低さが分かります。

出典:資料2 地方公共団体における情報資産のリスク分析・評価に関する手引き(全体版)

http://www.soumu.go.jp/menu_news/s-news/02gyosei07_000006.html

自治体の情報セキュリティ対策状況から見えてくる課題

情報セキュリティポリシーの浸透の課題

・業務において情報セキュリティで何を取り込むべきかがよく分からない。
・情報セキュリティ研修を定期的に実施しているが、マンネリになってきている。
・数年かけて、情報セキュリティ研修を定期的にしているが、次回テーマを何にすべきかが見当たらなくなってきた。
・情報セキュリティ研修をしているが、参加している職員が理解しているのかを把握する方法がない。
・情報セキュリティ委員会を開催しても、事務局からの報告だけで、委員から意見が提出されない。

実施手順書の作成の課題

・必要となる実施手順書の範囲と目次概要が明確にできない。
・庁内で利用する実施手順書の遵守事項のきめ細かさがよく分からない。
・職員にどのような体系・構成で配布するのが最も適しているのかがよく分からない。

情報資産の特定・リスク分析・評価の課題

・情報資産として何を対象とするのかがよく分からない。
・情報資産台帳を作成しても、維持ができない。
・リスク分析・評価の方法がよく分からない。
・情報資産台帳とリスク分析・評価の関連を明確にできない。
・リスク分析・評価から必要となるリスク低減等の対応方法がよく分からない。

弊社では、このような情報セキュリティの状況に対して、共に考えながら個々の実情に即した対策支援を行うように考えております。

GSXコンサルティングの特色

point1

情報セキュリティポリシーの浸透支援

・業務で情報セキュリティを意識することを自然に行うには、日々利用できる分かりやすいマニュアルやチェックリスト的なものが必要です。これらを繰り返し利用することで、必要な情報セキュリティが身についてきます。
・情報セキュリティの研修のテーマは、反復的に周知すべき事項と新たに取り込むべき事項に分けて考える必要があります。さらに職員の理解度を把握しておけば、どのようなレベルの研修が必要になるのかが分かります。
・情報セキュリティ委員会は、庁としての全体的な合意形成の場です。そのためには、委員から意見収集を行う仕組みが必要となります。意見収集として何が必要となるのかを明確にしておくことが重要です。

point2

実施手順書の作成支援

実施手順書は、職員にとって読みやすく活用しやすいことが必要となります。どのような構成で目次立てをするのが最適なのかを明確にすることが重要です。
このためには、庁として守るべき対策は何かを調査し、必要となる対策項目を決定していくことから始めます。対策項目が明確にできれば、これに基づいて、目次構成や対策の決めの細かさ等に配慮し、手順書を作成することができます。

point3

情報資産の特定・リスク分析・評価支援

庁内にある情報資産を特定するためには、情報資産台帳を作成する必要があります。また特定できた情報資産に対して、どこまでの対策を行う必要があるのかを明確にするために、リスクの状況を認識することが重要となります。
しかしこの作業には、膨大な時間と労力が必要になることもあります。そこで情報資産台帳の作成及び維持からリスク分析・評価について定期的に作業負担の少ない仕組みを構築しておく必要があります。

弊社では上述した対策に関して、今まで弊社が培ってきた豊富な経験をもとに、様々な自治体と情報セキュリティ対策の取組みを実施し、個々の状況にあった支援を提供してまいりました。お気軽にご相談ください。

構築ステップ

step1

実施内容と実施スケジュールの作成

step2

現状調査と課題の抽出

step3

課題に対する改善提案の実施

step4

対策の内容に応じた資料の作成とご説明

step5

実施に関する支援とご相談受付

step6

実施結果の確認と分析

step7

実施結果の総評

step8

次回の情報セキュリティ対策に係る提言

導入後の効果・メリット

自治体情報セキュリティ対策支援を利用していただくことにより、下記のメリットがあります。

情報セキュリティ対策も過年に渡り、様々なことに悩み試行錯誤を重ねながら遂行されているのではないでしょうか。
弊社では、自治体への情報セキュリティ支援活動を通じて、より効率的で、有効的な方法論を提供をします。弊社の支援サービスは、下記においてその効果を発揮します。

・日常の業務における、情報セキュリティに関する職員への浸透と定着化
・情報セキュリティ研修内容の作成に対する考え方の明確化と、職員の理解度の把握
・職員にとって利用しやすく、理解しやすい実施手順書の提供
・情報セキュリティの予算措置の根拠の明確化と、対策の強弱が行える情報資産台帳の作成、リスク分析・評価の方法論の確立

支援実績

■市情報セキュリティ対策支援(多数)
■県情報セキュリティ対策支援(多数)

Q&A

Q1

入札の仕様書の作成を考えておりますが、なかなか思うようにできません。このような簡単な質問でも、ご意見をうかがうことは可能ですか。

A1

可能です。遠慮なくお気軽にご相談ください。

Q2

一日だけ、情報セキュリティ研修を考えております。講師派遣を要請した場合に、受けていただけますか。

A2

可能です。まずは、事前にヒアリングをさせていただきます。ご相談に応じて、お客様に合ったカリキュラムの作成を行っていくことも可能です。なお、別途、資料作成代、旅費等はご相談させていただきます。