情報セキュリティの社内基準が無い

今回入社したベンチャーの会社ですが、
情報セキュリティに関する、社内基準がありません。

例えば、

・他社の人間が、社内にノートPCを持ち込む
・私物の外付けHDを社内に持ち込んで業務をする
・ノートPCを自宅に持ち帰って作業をする
・USBメモリが個人管理（社内に何本あるか、誰も把握していない）

などが横行し、ルールとしてこれを制御することができていません。

これらを制御するルールを作成したいと思うのですが、
「ガイドライン」や「標準」となるドキュメントやサンプルなどは
ネットで公開されていたりするものなのでしょうか？。
※大変お恥ずかしいご相談ですが・・

そもそも経営陣がITに疎いうえ影響力が薄く、トップダウンで
これらのリスクに取り組み、指示していくことが期待できません。

情シスで何らかのドラフトを作成してそれを提言し、
承認を取り付ければと考えています。

No.2 ベストアンサー 回答者： hue2011 回答日時： 2014/04/28 07:19

別の方の回答は、全くご存じのない人のようですから、受け止めないでください。

IT系をやっていてISMSの感覚がなければ、交通信号を読めないのに外を運転するようなものです。
あなたの心配はものすごくまっとうです。

ISO27000の認定を受けるのにそこそこの費用がかかるので小さいところはやらない場合が多い。
ただし、手も出ない会社は独自開発なんかはしないで外注で働いているのがほとんどです。

ということはISMSは絶対必要で、発注元のルールに従う必要があるわけです。

その発注元でしっかりしたルール講習をするのが普通です。
ただ、発注が親子でなく、孫請けひ孫請けとなると、それがぼけてくるのですね。
お客がいうならそれに従えばいいや、おれらは考えるのはよそう、となるのです。

それと、細かいところが発注元で微妙に違ったりすると、まあいいやになってしまうことがある。

これは明らかに信頼を失い、品質に影響します。

当然問題が起きます。
これはISMSですから、勝手にルールを決めるわけにはいきません。
よかれと思って決めたものはローカルルールです。
ネットでテンプレートがあるわけではありません。
原則、基本をきっちり守って作る必要があります。

ISO27000を勉強してください。
明確にいえばISO27001です。

で、社内で認めてもらうものではなく、これが原則だからこのようにします、という言い方になります。

この回答へのお礼

有難うございます。

「これが原則だからこのようにします、という言い方」については全くの同意です。

トップが見識が無い以上、こちらから提示して承認をもらう動きになるかと思います。

お礼日時：2014/04/29 13:30

No.1 回答者： miura8miiura 回答日時： 2014/04/28 04:37

＞※大変お恥ずかしいご相談ですが・・

気にしないでいいですよ
あなたも知識が無いんだから

そもそも情報セキュリティに関わる仕事をしてるんですか？