情報セキュリティをはじめよう(5)(最終回)

今回は連載5回目(最終回)です。
1回目の記事は、「情報セキュリティをはじめよう(1)」です。

前回までに中小企業がまず取り組むべき「情報セキュリティ対策」として、ステップ1から順を追って、ステップ3まで進めてきました。最終回である今回は、運用面から総括していきます。

■規程作成と周知徹底・教育の実施は、企業として“必須の取り組み”

ここまで進めてきたステップ3までの取り組みは必須です。
万が一、情報漏洩の事故が発生したとしましょう。その時に、迷惑をかけてしまった皆さまに、どのような説明ができるでしょうか。「情報セキュリティの取り組みは何もやっていませんでした」とは口が裂けても言えません。仮に、原因が他のところにあったとしても、すべての責任を押し付けられる可能性もあります。信用失墜につながり、一つの情報セキュリティ事故が命取りになってしまうことも大袈裟ではありません。

規程を作り、教育を実施しているということまでは、企業としての必須の取り組みだと位置づけ、関係者に説明ができるようにしておきましょう。

■PDCAを回そう!

ここまでのステップをPDCA(PLAN、DO、CHECK、ACTION)で回し、継続することができれば、情報セキュリティは維持されます。私の経験から情報セキュリティの取り組みのPDCAを回すために必要だと感じたことを3点に絞って説明します。

①情シスではなく“経営者”がリーダーシップを持って進めること!
情報セキュリティの取り組みはトップダウンで行うことが必須です。よく見受けられるうまく行かないケースは情報システム部門が中心になって構築しているケースです。それは“事故0件”などという部門の目標を達成させるために難しい対策、すなわち現場からするとやらされる対策になってしまいがちなのです。
組織の壁がない唯一のポジションは“経営者”であることを肝に銘じて進めていきましょう。

②メンバーに職責を与えること!
情報セキュリティの取り組みを特別に与えるのではなく、業務改善活動の一環として位置づけることでも充分です。
いま、品質会議を開催しているのであれば、それに情報セキュリティの要素を加え、確実に進めていきましょう。

③隠さずに報告…事故や予兆の報告を“評価”すること!
情報セキュリティの取り組み・改善のきっかけとなるのが、事故や予兆から学ぶ姿勢です。それには、現場が事故や予兆などの事象を隠さず上げてくれる仕組みづくりが重要となります。同じミスを繰り返さないための改善の提案である位置づけだと考えると、報告者は評価されるべきです。
また、現在の運用で、もし「事故連絡票」のような堅い名称だったとしたら、「改善提案報告書」という名称に変えることでも、報告が出やすくなるかもしれません。

■「事故前提社会」を意識して、事前にシミュレーションをしておくこと!

最後に、事故前提社会というのをあげます。日々、外部環境が変化していく中で、対策をしっかりやっているからといって事故が起こらないということは決してありません。事故に対して、敏感な反応を起こさず、事実を冷静に受け止めて、適切で素早い対応を行うことが不可欠となります。
そのためには、業務遂行において、支障をきたす恐れのある事象で、かつ可能性が高い事象を想定して、シミュレーションをしておきましょう。

たとえば、取引先から「お宅から送られてきたメールにウイルスが入っていた」と言われて、迅速かつ適切な対応をすることができるかシミュレーションをしておくことで、新たな課題が抽出されます。それに対し事前に手を打っておきましょう。

こうした取り組みは、BCP(事業継続計画)の策定ともつながります。次なるステップとして、BCPを策定することで、企業の情報セキュリティ力が、さらに強化されるものと考えます。

以上です。

身の丈にあった経営に役立つ情報セキュリティの取り組みで、ビジネス競争力を高めていきましょう!
一つでもヒントがあったとしたら、幸いです。

*当記事は、「キーマンズネット中小企業ITコラム」に掲載いただいたものを一部改訂して掲載しています。

スポンサーサイト


情報(セキュリティ) | コメント(0) | トラックバック(0)2013/04/19(金)09:24

«  | HOME |  »


カレンダー

06 | 2017/07 | 08
- - - - - - 1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30 31 - - - - -

Twitter

プロフィール

 新木 啓弘

Author: 新木 啓弘
     (しんき よしひろ)

徳島県出身/東京都在住

株式会社インフォクリエマネジメント 代表取締役

中小企業診断士
ITコーディネータ
ISMS審査員
ターンアラウンドマネージャー(NPO法人金融検定協会認定)

砂にこぼれた雨の滴が
川と流れて海に向くように
人は生きて何を残そうか?
こんな小さな命だけど・・・
  「からっぽのブルース」より

↓従業員特性調査ツール

BasMosバナー

月別アーカイブ

全ての記事を表示する

全ての記事を表示する

ブログ内検索