SECURITY ACTION(セキュリティ対策自己宣言)
SECURITY ACTION
IT導入補助金2021を申請された事業者様は当然SECURITY ACTIONをご存じだと思いますが、そうでない事業者様はあまりご存じないかもしれません。私自身も補助金の申請要件を確認するまでは気が付きませんでした。
SECURITY ACTION(宣言)を行うとSECURITY ACTIONロゴマークを利用できるとあり、これは以前IPAのHPで見たことはあるけど、何だったんだろうか。。。ぐらいのものだったので、改めて調べてみました。
ここで、”SECURITY ACTION”とは何だろうかと気になる方もいらっしゃるので、IPA(情報処理推進機構)からの定義では以下の通りです。
という事で、あくまで自身で宣言するもの(自発的に情報セキュリティ対策に取り組みますという宣言)のようです。(認証取得するものではないです。)
自己宣言となると個人的には情報セキュリティ対策の難しさは理解していることもあり、適切に確認できるのかと思いましたので、改めて宣言する際の要件(目標)を見てみると、一つ星と二つ星があり、3つほど要件があるようです。(以下がその内容)
情報セキュリティ5か条と自社診断の実施、情報セキュリティポリシー(基本方針)作成と宣言まで。
SECURITY ACTIONロゴマーク取得サイトを参照に、この際当事務所で宣言できるかを確認してみました。
- ★一つ星
さて、一つ星となるためには、情報システム5か条に取り組むことを宣言するということですので、パンフレットに記載の5か条の対策例を参考に見て確認できます。
うみもと会計事務所では、
①OSは適切なタイミングでバージョンアップしています。
②利用端末は統合型ウイルス対策ソフトを導入済みです。
③業務利用のIDとPWは十分な複雑性を確保していますし、使い回しでもありません。
④データ保管もクラウドストレージサービスを利用しているので、共有設定の上では基本的な対策は行っています。
⑤IPAからのメールニュース配信でセキュリティ対策情報にも登録しています。
という事で、一つ星はで要求される情報セキュリティ5か条取り組みますと宣言できそうです。
★★二つ星
次に、二つ星となるためには、中小企業の情報セキュリティ対策ガイドライン付録の「5分でできる!情報セキュリティ自社診断」を用いて、自社診断をすることで課題を見つけた上で、情報セキュリティ基本方針を定め、外部に宣言するという事のようですので実施してみました。
自社診断は、情報セキュリティ対策支援サイトでもオンライン診断できるという事で以下で確認します。
https://security-shien.ipa.go.jp/learning/
中には、個人所有の情報機器を業務で利用する場合のセキュリティ対策を明確にしていますか?といったBYODのルールやセキュリティ事故が発生した場合に備え、緊急時の体制整備や対応手順を作成するなど準備をしていますか?などのインシデント発生時の手順等があり、日ごろお客様へ指摘している事項が実は自身の事務所では、明確になっていないことに気が付きました。
BYODについてはウイルス対策ソフト導入の限定された端末以外は利用しないことにし、セキュリティ事故が発生した場合には初動対応からご関係者様への通知、報告等、損害対応等の重要性も改めて考えさせられました。賠償責任保険も再度見直ししなければと感じました。
次に、情報セキュリティポリシー(基本方針)を定めて、外部に公開する必要があるとのことで、HPにも反映しました。情報セキュリティポリシーのページ
という事で、SECURITY ACTIONを当事務所では★★2つ星で宣言いたします。
2021年6月12日に自己宣言いたしました。ロゴマーク使用まで1~2週間かかるようです。
追伸:2021年6月16日に独立行政法人情報処理推進機構(IPA)SECURITY ACTION 事務局様より手続き完了通知が来ました。これで利用セキュリティ対策自己宣言★★星利用できるようになりました。