現地法人の経営を任されている方々は、本社からいきなり「情報セキュリティは万全か?」などと聞かれて焦ることがあるかと思います。
情報セキュリティをゼロから構築するのは大変です。いきなりIT屋に情報セキュリティの商品を紹介してもらう経営者の方も多いですが、それは要注意。多くのIT屋は情報セキュリティ商品を販売することが仕事です。
まずは社内にどのような情報があり、それらの重要度とその重要度によってどのように取り扱う必要があるかの情報セキュリティポリシーや、情報取扱規定から作るべきです。しかし、これらを専門外の人が作るのは多く勉強しなければならないですし大変です。
そこでまずは本社の情報セキュリティポリシーや情報取扱規定を取り寄せましょう。取り寄せたポリシーと規定を元に現地法人も同じようにしたいと伝えて、現地法人用のポリシー作成から弊社のような専門業者へ依頼するのが一番簡単です。もし本社にポリシーや規定が無いならまずは本社で作るようにお願いをすることをお勧めします。
ポリシーを個別に作成する必要がある場合、社内にどのような情報があり、どこに保管されていて、それぞれの情報の重要度、誰がアクセス可能か、保管方法は、誰が管理者か、チェック体制をどうするか、を決めることです。ポリシーや規定を設けず、IT屋に勧められるまま情報セキュリティ商品を導入してもどうしても穴が出来てしまいます。
ポリシーや規定は作るのが大変でどうしても手が回らない場合には、最低限バックアップだけは取っておくことをお勧めします。どんなに情報セキュリティ商品を強化しても事故が起こることがあります。IT屋は保証も補償もしてくれません。確実にバックアップを取っておけば、色々な事故が起こっても情報やデータだけは確保されます。情報やデータさえあれば事業は復旧/継続することが出来ると思います。
