東京都産業労働局 令和5年度中⼩企業サイバー
セキュリティ対策継続支援事業

文字サイズ

コラム・編集後記

実施手順の文書化に関するポイント

実施手順を文書化する際のポイントをいくつか紹介します。

  • 明確な手順と責任の割り当て
    実施手順を文書化する際、手順が誰が、いつ、どのように実施するのかを明確にすることが重要です。実施手順が適切に実施されるようにするためには、文書の各手順に関連する責任者を明記することが有効です。
  • フローチャートや図の活用
    文字だけでなく、フローチャートや図などを用いて手順を視覚的に示すことで、手順の流れや関係性を理解しやすくできます。また、複雑なプロセスを分かりやすく表現できるため、実施者が迷わずに手順を進められるようになります。
  • 定期的なレビューと更新
    実施手順は、絶えず変化する環境に適応させる必要があります。新たな脅威や法規制などへ対応させていくために、定期的なレビューや更新を行い、実施手順が常に効果的なものである状態を維持していくことが大切です。

実施手順の文書化は、組織がセキュリティ対策を行っていく上で必要です。実施手順を組織全体に浸透させ、形骸化させず有効な状態を維持するためには、責任者を明記したり、視覚的な表現を組み合わせて分かりやすい手順を記載したり、定期的にレビューしたりすることが大切です。

編集後記

セミナー9日目では、引き続きISMSの管理策を参考に、対策基準・実施手順を策定する手順について説明しました。また技術的管理策については、テーマごとにさらに説明し、実施手順の説明箇所では、選択すべき管理策の例を参考として記載しました。紹介した対策基準・実施手順の例とISO/IEC 27002の内容を参考に、自社にあった対策基準・実施手順を策定していただければと思います。

本テキストでは、最初に「物理的管理策」を参考に対策基準を策定する手順について説明し、物理的管理策それぞれに対応する実施手順の例を説明しました。その後、「技術的管理策」についても同様に説明を行いました。次に、ゼロトラストやネットワーク制御などテーマごとに概要や実施手順などについて説明しました。最後にセキュリティ対策状況の有効性評価として、内部監査と外部監査について説明しました。

次回は全体総括として、第1回から第9回の内容を振り返り、今後のセキュリティ活動において、自走できるために必要な考え方について解説します。