ヒト・モノ・カネ・情報と言われる経営資源の情報にスポットを当て、経営に役立つ情報の利活用について模索中♪
本日は、夢カナサマーセミナーに参加しました。
2部構成であり、第1部は、企業診断ニュース2008年4月号の特集の執筆メンバーによる「コンサルタントの仕事力とは」と題したパネルディスカッションでした。執筆されていた部分+αの部分で楽しませて頂きました。いつも気づきがいい刺激になっております。
第2部は、講談師で真打の日向ひまわりさんの講談を聴かせて頂いたうえに、実際に発声をしてみたり貴重な楽しい時間を過ごすことができました。
師匠(先生)からワンポイントアドバイスを頂いたことは一生に残る出来事となるでしょう。頑張ってみます。
師匠(先生)のこれからのご活躍を心より応援したいと思います!
夢カナでは、プロコン養成マスターコースを開講しており、現在、2期生を募集しております。若干ですが、まだ、空きがあるようです。お勧めですよ!!!
1期生である私は、今、自主セミナー企画で盛り上がっております。いい仲間に出会えて一つのものを企画していくことは大きな収穫かと思います。
診断士二次試験のバイブル本「ふぞろいな合格答案」~合否を分けた秘密を探る~がついに発売となりました。
出版社が同友館さんということもあり、各予備校の協力を得て進めることができたようです。
実際に、発刊後、予備校(東京地区)とタイアップしてセミナーを開催することも考えているようですよ。
製作秘話や特典など、詳しくは ふぞろいな合格答案official blog をどうぞ!
筆者が語っております。
2次試験対策として、一度目を通しておかないと不安になりそうです。
このたび8回にわたり掲載しました。
(1)情報セキュリティとは
(2)機密性、完全性、可用性とは
(3)取り組み姿勢
(4)ステップ1(認識する)
(5)ステップ2(標準化する)
(6)ステップ2までは必須
(7)ステップ3(管理する)
(8)PDCAを回すために必須のこと
如何だったでしょうか?
「納期に遅れた」
原因を探っていけば、
システムへの入力値を誤った(完全性)または、システムが故障した(可用性)
ということからかも知れません。これらの事象は、業務効率を落とし、お客さまからの信頼を損ねてしまいます。
情報セキュリティの取り組みは、それらのリスク(入力間違い、システム故障)を事前に想定して予防措置をしておくことなのです。
決して、情報セキュリティの取り組みは機密性という観点からの個人情報の漏洩に対して対策を打つことだけではありません。
是非、情報セキュリティについて、敷居が高いと思わず、業務改善の取り組みのひとつとして取り組んで頂きたいと思います。
ビジネス競争力が高まること間違いなしです。
今回は、最終回となります!PDCAを回すために必須のことをまとめてみました。いままで記載したことと重複するところもありますが、以下の3点です。
1.目的を持つこと
-経営目標との位置付けを明確に
情報セキュリティはインフラです。取り組みは当然、経営に直結してきます。そのあたりを明確に示すことが大切です。
私のお客様で、このプロジェクトを機に、組織力を高めていきたいとおっしゃっていた社長さんがいました。この会社は、ほんとうにいいISMSが構築出来ました。
2.体制を整えること
-メンバーに職責を
メンバーに職責を与えてください。月に5%でも結構です。これで十分PDCAを回せます。そのたった5%を惜しんでいる組織はISMSの更新審査の2週間前から大慌てで、記録や議事録を作っています。それも徹夜で。年間工数は変わらないかもしれません。いや、余計にかかっているかもしれません。
-セキュリティの事故や予兆を隠さず報告出来る文化
情報セキュリティの取り組みも当然、スパイラルアップしていきたいものです。それには、事故や予兆から学ぶという方法があります。事故や予兆の原因を調べて、再発しないようにするという動きです。ここで大切なことはその事故や予兆をかくさず現場は上げてくれるのかどうか?ということです。面倒である、業績評価に関係してくるかもということで隠さていると意味がありません。
事故報告を改善報告という名称に変えて、発見者を責めるのではなく、評価してあげる制度にしたことで、情報セキュリティ力が上がったケースを知っています。
3.リスクアセスメント手順は簡単に
-誰がやってもできる
ISMSではリスクアセスメントは必須であり、定期的に見直しをしなければなりません。担当が変わってもそのリスクアセスメントをすることが出来ますか。リスクアセスメントはエクセルで作成しているケースが多いですが、マクロがちりばめられていて、担当者でなくてはシートの更新が出来ない状態になっている組織をいくつか知っています。それでは、PDCAがストップしてしまいますね。マクロを作ったならば、手順書を書くこと。なるべく使わないですっきり出来る手順を導入することが大切です。
以上となります。8回にわたり情報セキュリティに関して、掲載してみました。
情報セキュリティの取り組みが少しでも身近に感じて頂ければ幸いです。
(完)
(ステップ3)です。
まず、認証取得のメリットについて書きます。
(内部効果)
・業務フロー見直しにより効率化が図られること
・規程が出来るので、曖昧さがなくなること
・リスクアセスメントを実施することで、適正な投資が出来ること
・第三者審査を受ける事により、情報セキュリティをより改善につなげていけること
(外部効果)
・信頼性向上によりビジネス機会を増やすことができること
といったところでしょう。
「でも、第三者認証の取得はお金もかかるし、敷居が高いでしょ?」
そんなことはありません、身の丈にあったマネジメントシステムが構築されていればいいだけです。
よくある質問のひとつとして、「カードによる入退出は必要でしょうか」というのがあります。その対応は必須ではありません。するかしないかは企業によって異なります。企業のトップが受容していればやらなくていいのです。例えば、
・社員は名札をつけること。
・知らない人がいると声をかけること。
・第三者が入室する際には、台帳に書いてもらうこと。
などの対策をすることで、情報セキュリティが維持出来ると判断されれば、それ以上の対策を実施する必要はありません。
次回は、PDCAを回すための必須の取り組みについて書いてみたいと思います。
8回目(最終回)につづきます。
私は、従業員満足を高めることについて、日々考えています。
それは、従業員満足が企業永続、生産性向上において、何よりもかかせないものだと思っているからです。
よく商店で見かけるスタンプカードを社内でやっている企業の紹介が先日の日本経済新聞夕刊(2008/6/18)に掲載されていました。
それは、改善提案、社内勉強会参加といったものをはじめ、オフィス周辺の掃除、地元の夏祭りのお手伝いといった活動に、ポイントを与え、ポイントがたまれば商品券に変えることが出来るというものです。
自主的に活動して頂きたい活動に対して、ポイントを与えるのはどうか?という意見もあるかと思いますが、社内や地域との交流のきっかけとなり、満足が高まっていくような気がします。
前回までに、(ステップ2)までを書きました。(ステップ2)の規程を作るまでの取り組みはどの企業でも必須の要求事項だと考えています。
是非、取り組んで頂きたいと思います。
1回目にも書きましたが、今、大手企業から取引先にチェックリストが出ています。この規程があることでチェックリストの65%ぐらいがクリアされます(あくまでも私の感覚です)。もし80%クリアしなければならないとすれば、残り15%をやらされる対策として実施することで80%をクリアする事が出来ます。
15%ぐらいだと何とかなるのではないかと感じるかもしれません。しかし、情報セキュリティの取り組みは、やらされるものは排除したいところです。
もし、そのやらされる対策をしたくないと考えるならば、第三者認証を受ける(ステップ3)に進むことになります。なぜならば、ISMSやプライバシーマークの第三者認証を取得していれば、チェックリストがこないからです(本当か?)。
ここで整理すると、
チェックリスト対応する 65点+やらされる対策15点=80点
第三者認証取得する 65点以上
となります。得点が高い方が、セキュリティ強度が強いのか?
得点だけを見た場合、チェックリストに対応した方が、強いと感じるかも知れませんが、第三者認証の強みはマネジメントシステムであり、PDCAを回していることです。
PDCAが回っている情報セキュリティとお金をかけて、対策だけの情報セキュリティはどちらがいいでしょうか?
(7)に続く
「診断士の火床(ひどこ)」というサイトから連絡を頂き、リンクを貼って頂きました。ありがとうございました。
見ていると、診断士が書いているブログのリンク数が毎日、増えております。
かなり集まっているような気がします。お勧めです。
その他にも私が閲覧しているブログ集のサイトをご紹介します。ご参考まで。
中小企業診断士の広場
502教室
これ短2000
ブログ村
診断士の活動がよく見えると思います。
(ステップ2)
このステップでは規程を作ります。規程を何故、作るのかというと曖昧さをなくすことが出来るからです。良いも悪いも基準がないと何も言えません。
以下、その基準の作り方の手順を書いてみます。今回は長めとなりますが、お付き合いください。
1.プロジェクト体制を整えましょう
ここで大切な事は、まず、社長が意気込みを社員全員に伝える事からはじめます。キックオフを開催することも大袈裟ではありません。それに加えて、各部門が参加することです。営業部が抜けても、生産部が抜けても成り立ちません。それとそのメンバーに職責を与えることが重要です。会議を進めていると、営業部が欠席したり、生産部が欠席したりで進まなくなってきてしまいます。みんな本業があるからです。このプロジェクトも本業であるという認識が必要です。是非、メンバーには職責を与え、プロジェクトとして体制を整えましょう。
2.業務フローを作りましょう
資産が生まれてから、廃棄されるまでをフロー図で表してみましょう。フォーマットは問いません。簡単に取り組んでみて下さい。そうすることで、その資産の場所やプロセス(動き)がはっきりします。ある時点では、机の中だけであるが、ある時点では、コピーが取られ、キャビネットと机の中の2つになっている。その後、机の中のものは案件が終了したらシュレッターしている。などということを明確にします。ここでは、抜け漏れがないように、保管場所だけでなく、プロセス(動き)も捉えることです。
3.脅威、脆弱性を考えてみましょう
業務フローにより資産の場所やプロセスが明確になると、その場面ごとに、脅威を考えてみましょう。脅威とは、盗難、地震、人為的なミスなど、セキュリティ事故の潜在的な原因を指します。その脅威に対して、どのような対策を実施しているのだろうと考えて、脆弱性の度合いを図りましょう。脆弱性とは、脅威の発生を誘引する弱点と考えて頂ければと思います。
例えば、キャビネットに保管している情報に対して盗難という脅威があるとして、キャビネットに鍵をつけるという対策をしたとします。立派な取り組みですね。しかしその鍵が壊れている、鍵の管理をしていないといったことはないでしょうか。それらの現在実施している取り組みと運用状況を考慮して、脆弱性を考えてみましょう。
4.対策を考え、規程を作りましょう
脆弱性の度合いがあまりにも高い(悪い)場合、脅威が付け込んできますので、何らかの対策を打つ必要があります。その対策を集めて、ルール化したものが規程となります。それを分類すれば、PC利用規程、入退出規程などが出来あがります。
5.管理系の規程を少し追加しましょう
業務フローから抽出した上記の規程に加えて、人的対策について少し補完しましょう。
例えば、セキュリティ委員会運営規程、事故連絡規程など、また、機密保持契約書なども「在職中に知りえた機密情報を他人に開示してはならない」などと、セキュリティの観点を加えて見直しを実施しましょう。
6.周知しましょう
規程を作ったら周知しましょう。教育という形で実施することが望ましく、あわせて、受講アンケート、理解度チェックをして、次回の教育にも活かしましょう。
7.見直しましょう
運用を始めてみたら実態に合っていなかったということもあります。また、いつかは陳腐化します。必ず、見直しを実施しましょう。その見直しタイミングを決めておくことも大切です。
(6)に続く
最近、習慣化していることを書きます。
Podcasting。診断士有志のブログに書かれていたもので、いいなあと思って取り入れてみました。情報は無料で、毎朝、ipodにダウンロードして、出勤しています。
コンテンツは、
「聴く日経」
「日経ビジネス 編集長の取れたての話」
「週刊日経トレンディ」
の3つをチョイスしています。
朝は、なんといっても「聴く日経」。出社前に自宅で読めればいいのですが、いつも昼休みになってしまっています。朝の電車の中で、朝刊の記事をかいつまんで読み上げてくれているのを聴くのは効果的です。あとで、新聞を読んで深く確かめることが出来ます。
「日経ビジネス」は、編集長自らが語っており、掲載されなかった部分が聞けたりして、より記事の理解が深まり面白く読めます。
「日経トレンディ」は、日常の情報のキャッチアップに最適ですよ。
トップダウンで取り組まなくていけない事を前回までに書きました。
取り組み姿勢について認識頂いたところで、今回からは、具体的にどう進めていくのかをステップを踏んで書いていきたいと思います。3つのステップがあります。
ステップ1:認識する ギャップ分析
ステップ2:標準化する 規定を作成する
ステップ3:管理する 第三者認証を受ける
今回はステップ1について書いていきます。
(ステップ1)
このステップにより、どのくらい対応が出来ているのかということを把握することができます。
このステップ1を実行するのに、大きくコストはかかりません。
インターネット上には無料のサイトがたくさんあるからです。それらを活用することにより、自社の立ち位置を確認してみてください。
IPA(情報処理推進機構)自社のセキュリティ対策自己診断テスト
~ 情報セキュリティ対策ベンチマーク ~
警視庁セキュリティポータルサイト
国民のための情報セキュリティサイト
知っておきたい情報セキュリティ理解度セルフチェック
なんかがお勧めです。
(5)に続く
少年は、バットとボールを持っている。
ボールを投げ上げ、バットを振る。空振り。
もう一度、やってみるが、また空振り。
バットとボールのどこが悪いか調べてから、ふたたび空に向かってボールを投げた。
またも空振り。
すかさず、その少年は、自慢そうに言った。
「やった!ぼくはなんてすごい投手なんだろう!」
引用:こころのチキンスープ
視点が違うだけで、見方は変わります。
逆の発想を取り入れることで、前に進むヒントを得られるかも。
昨日、突然、PCが立ち上がらなくなりました。
電源を入れても、リブートを繰り返すばかり、リストアCDを入れてみても、読み込んでくれる前の段階でリブート。どうにもならなくなりました。
情報セキュリティでいうと可用性が維持出来ていない状態であり、情報セキュリティ事故として取扱われるものです。
腰痛で、まいっていたところでの出来事で、いやなことが続くなあと思っていました。
ところが、畜生!と何度かバッテリーを抜き差ししていたら幸いなことに立ち上がりました。
ほっ~~。良かった。ただの接触不良か?
これまでの時間のロスは1時間あまり。かなり悔しい。
とはいえ、もしもそのまま、立ち上がらなかったらと思うとぞっとします。
今回の事象は、HDDには問題はなく、データ破損までにはなっていないだろうと思っていましたが、立ち上がらないことにはデータにアクセスすることは出来ません。修理待ちなんかになると、事業継続!?(大袈裟です)に支障をきたすと感じました。
今回のような事象は予兆と捉え、事前に対策を打つことは非常に重要なことです。
事業が継続出来なくならないように(大袈裟です)、
1.こまめにバックアップをとっておきましょう。
これから1週間に1回はデータ部分だけでもとるようにします。そうすれば、あわてませんね。半年バックアップ取っていませんでした。危ないところでした。
2.PCは2台持っておきましょう。
プロならPCは2台持っておきたいところです。
私は、HDDがキューキューと音をたてながら10分ぐらいかけてやっと立ち上がる旧PCがありますので、それをいざという時のために手元においております。バックアップPCと呼べるのか?もっとしっかりしたものが欲しいですが、少々我慢です。
の2点ぐらいは最低限やっておきたいところかと思います。
第3回は、情報セキュリティの取り組み姿勢について考えてみたいと思います。
情報セキュリティは敷居が高いと感じていないでしょうか?
それは、情報と付いているので、どうもITというイメージが出てきて難しくしているのかも知れません。
今までいくつもの組織を見てきていますが、情報システム部門が主導になって情報セキュリティに取り組んでいる組織で、一つもPDCAが回っているのを見たことがありません。一見、良く出来ているように見えても、現場では実行されていないのです。それらの対策は、現場からすると、やらされているからです。
情報セキュリティはIS(Information Security)であって、IT(Information Technology)ではありません。どうもITと同義的に思っている節があり、情報システム部門が主導で取り組んでいるケースが多いです。それは間違いで、情報セキュリティは社長自らのリーダーシップによるトップダウンの取り組みが必須になります。
何故なのか?
それは、情報セキュリティの対策は、システム的な対応だけではないからです。大きく分けると人的対策、物理的対策、技術的対策の3つに分かれます。そのうちの物理的対策と技術的対策については、お金を掛ければ立派なものが出来ます。しかし、人的対策はお金を掛けても出来ないことなのです。もちろん教育を実施することなどの対策は考えられますが、何よりもパート・アルバイトを含めた従業員が情報を持ち出そう、書き換えちゃおう、使えなくしちゃおうなどと思わない企業文化を作ることが必要となってきます。そのような企業文化はどのように作っていくのか。それは、従業員満足を高めることからはじめないといけません。その活動は、情報システム部門では出来ません。人事部なんかが絡んできます。ここで情報セキュリティは、トップによるリーダーシップによってしか成り立たないというのが分かると思います。
あと、もう一つ付け加えるならば、情報は経営資源(ヒト、モノ、カネ、情報)の一つであるということでしょうか。少し前までは、経営資源に情報は含まれていませんでした(厳密に定義があるわけではないですが)。
モノを作れば売れるというプロダクトアウトの時代から、マーケットインの時代にシフトしてきている中で、情報のウェイトは非常に大きいです。その情報の利活用が出来ている企業ほど業績がよいということも分かってきています。そんな中、情報セキュリティ事故が発生すると大きくロスをうみます。機密性という観点からの事故であると、存続も危ぶまれます。情報セキュリティの取り組みはいまや必須なのです。
トップダウンで取り組みましょう。
(4)に続く
« | HOME | »
| 日 | 月 | 火 | 水 | 木 | 金 | 土 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | 6 | 7 |
| 8 | 9 | 10 | 11 | 12 | 13 | 14 |
| 15 | 16 | 17 | 18 | 19 | 20 | 21 |
| 22 | 23 | 24 | 25 | 26 | 27 | 28 |
| 29 | 30 | - | - | - | - | - |
Author: 新木 啓弘
(しんき よしひろ)
徳島県出身/東京都在住
株式会社インフォクリエマネジメント 代表取締役
中小企業診断士
ITコーディネータ
ISMS審査員
ターンアラウンドマネージャー(NPO法人金融検定協会認定)
砂にこぼれた雨の滴が
川と流れて海に向くように
人は生きて何を残そうか?
こんな小さな命だけど・・・
「からっぽのブルース」より