中小企業のための情報セキュリティのはじめ方(8)

今回は、最終回となります!PDCAを回すために必須のことをまとめてみました。いままで記載したことと重複するところもありますが、以下の3点です。

1.目的を持つこと

-経営目標との位置付けを明確に

情報セキュリティはインフラです。取り組みは当然、経営に直結してきます。そのあたりを明確に示すことが大切です。
私のお客様で、このプロジェクトを機に、組織力を高めていきたいとおっしゃっていた社長さんがいました。この会社は、ほんとうにいいISMSが構築出来ました。

2.体制を整えること

-メンバーに職責を

メンバーに職責を与えてください。月に5%でも結構です。これで十分PDCAを回せます。そのたった5%を惜しんでいる組織はISMSの更新審査の2週間前から大慌てで、記録や議事録を作っています。それも徹夜で。年間工数は変わらないかもしれません。いや、余計にかかっているかもしれません。

-セキュリティの事故や予兆を隠さず報告出来る文化

情報セキュリティの取り組みも当然、スパイラルアップしていきたいものです。それには、事故や予兆から学ぶという方法があります。事故や予兆の原因を調べて、再発しないようにするという動きです。ここで大切なことはその事故や予兆をかくさず現場は上げてくれるのかどうか?ということです。面倒である、業績評価に関係してくるかもということで隠さていると意味がありません。
事故報告を改善報告という名称に変えて、発見者を責めるのではなく、評価してあげる制度にしたことで、情報セキュリティ力が上がったケースを知っています。

3.リスクアセスメント手順は簡単に

-誰がやってもできる

ISMSではリスクアセスメントは必須であり、定期的に見直しをしなければなりません。担当が変わってもそのリスクアセスメントをすることが出来ますか。リスクアセスメントはエクセルで作成しているケースが多いですが、マクロがちりばめられていて、担当者でなくてはシートの更新が出来ない状態になっている組織をいくつか知っています。それでは、PDCAがストップしてしまいますね。マクロを作ったならば、手順書を書くこと。なるべく使わないですっきり出来る手順を導入することが大切です。

以上となります。8回にわたり情報セキュリティに関して、掲載してみました。

情報セキュリティの取り組みが少しでも身近に感じて頂ければ幸いです。

(完)

スポンサーサイト


情報(セキュリティ) | コメント(0) | トラックバック(0)2008/06/25(水)06:59

«  | HOME |  »


カレンダー

05 | 2017/06 | 07
- - - - 1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30 -

Twitter

プロフィール

 新木 啓弘

Author: 新木 啓弘
     (しんき よしひろ)

徳島県出身/東京都在住

株式会社インフォクリエマネジメント 代表取締役

中小企業診断士
ITコーディネータ
ISMS審査員
ターンアラウンドマネージャー(NPO法人金融検定協会認定)

砂にこぼれた雨の滴が
川と流れて海に向くように
人は生きて何を残そうか?
こんな小さな命だけど・・・
  「からっぽのブルース」より

↓従業員特性調査ツール

BasMosバナー

月別アーカイブ

全ての記事を表示する

全ての記事を表示する

ブログ内検索