21 1 月 2009
中小企業の情報セキュリティマネジメント構築
投稿者 米田 宗義 カテゴリー: リスクマネジメント; 情報セキュリティ; ITコーディネータ .
昨年11月以降、立て続けに企業の情報セキュリティポリシー策定の支援をしています。支援中の企業はいずれもISO27001 (ISMS) (企業で取り扱う全情報資産が対象)やPマーク(個人情報が対象)の認証取得を目的としていません。これらの企業の支援で感じたことを少し書いてみます。
書き出すとあれもこれも、となり長くなりますので、1つのポイントに絞ります。それは、情報セキュリティポリシーとして決めた基本方針や対策基準が、その企業の血となり肉となり、従業員の皆さんの意識としていち早く浸透するには、どうすればいいか、というポイントです。
一般的にはポリシー策定のためのプロジェクトを結成し、運用フェーズに入れば、そのプロジェクトがそのまま推進組織(情報セキュリティ委員会など)になり、その組織のメンバーが中心となり社内教育を展開し、周知を図り、ポリシーやルールを守り業務を遂行する。そして、内部監査を定期的に実施し、ポリシーの見直しを図っていく。これがPDCAのマネジメントサイクルというわけです。
これらの仕組みを整備することは重要です。しかし、ポリシーを運用し、その下部規程として取り決めた社内規定・マニュアル類を遵守していくのは、「人」です。当たり前ですが、この当たり前のことがなかなかできない。ポリシーやルールといった強制力をもった仕組みだけでは、足りないものがある。
これは、情報セキュリティだけではなく、コンプライアンス全般についても言えることだと思います。
この続きについては、改めて書いてみたいと思います。