情報処理推進機構(IPA)は4月26日、中小企業の経営者および実務担当者向けに策定した情報セキュリティ対策に関するガイドラインを約4年ぶりに改訂し「第3.1版」を公表しました。中小企業にも浸透してきたテレワークやDX推進の観点から必要な対応策を追記しました。加えて新たにインシデント対応の手引き書を付録資料に追加しました。
改訂したのは「中小企業の情報セキュリティ対策ガイドライン」で、第1部に経営者向けの指針、第2部に実務担当者向けの具体的な手順が示されています。改訂では第1部において関連法令を最新の内容に見直し、第2部においては「テレワークの情報セキュリティ」と「セキュリティインシデント対応」について解説が追記されました。
テレワークのセキュリティ対策については、使用するシステム構成や機器に関する方針▽方式・機器・場所ごとのセキュリティ対策▽規定や運用ルールの策定――の3段階に分けて説明しています。また、インシデント発生時の対応についても検討事項を3段階(検知・初動対応▽報告・公表▽復旧・再発防止)に分けて解説し、付録資料「インシデント対応の手引き書」では、ウイルス感染・ランサムウェア感染▽情報漏えい▽システム停止――のケース別のインシデント対応例を示しました。なお、付録資料の点数は「インシデント対応の手引き書」を含め8点に拡充されました。
