|
■情報セキュリティ意識チェック
情報セキュリティに対する皆様の意識や知識をセルフチェックするものです。
「YES」か「NO」か、考えてみてください。
Q.社内ネットワークへの自分のパスワードが他人に知られたと思ったら、次回のパスワード定期更新の際に変更しなければならない。
|
| |
(1)YES(そう思う)
(2)NO(そうは思わない)
|
| ※解答及び解説は本文末尾に記載しています。 |
■情報セキュリティ基礎講座
「ISMS」と「プライバシーマーク」両方とれば何も怖くない?
「ISMSとプライバシーマークどちらがいいのかな?」漠然としていますが、よくいただくご相談です。
結論から申しますと、制度としてどちらが優れているのかということでは正直答えはありません。
プライバシーマークは個人情報という「個人の権利の保護」が目的であり、ISMSは個人情報も資産の一部として捉え、「個人情報を含めた情報全般を保護すること」が目的です。アプローチの仕方が異なりますので、一概に比較することができないのです。個人情報をたくさん保有している場合はプライバシーマーク、個人情報がさほどない場合はISMSという選択肢もありますが、そう単純に決められないケースも多いでしょう。
それならば両方とも取得するという選択肢もありますが、いきなり両方というのはあまりお勧めできません。どちらも名刺に入れるための単なるマークではなく、社内で運用していくマネジメントシステムである以上、よほど上手に構築しないと双方の間で整合性がとれず、かえって混乱する可能性もあります。
そのため、どちらかひとつのマネジメントシステムを時間をかけてブラッシュアップしていったほうが、自社にとって最適なマネジメントシステムの構築に繋がる近道であるとも言えます。
はなから最適なシステムを構築することは困難ですし、そもそもどのようなシステムが自社にとって最適なシステムなのかという疑問が出てきます。
蟻一匹這い出る隙間のない厳重なシステムと、自社にとって最適なシステムとは似ているようで違う場合があります。より自社に適したシステムを探すために認証を取得した後もシステムを回していく必要があるのです。
ISMSもしくはプライバシーマークいずれかの認証を取得し、しばらく運用してみて、もう一方を考えてみたらいかがでしょうか。
■[連載]〜コンサルの現場から〜
情報セキュリティ診断テストの意外な結果
コンサル先で、情報セキュリティに関する簡単なテストを社員の方々に実施していただくことがある。その際、比較的容易と思われる問題も用意する。
例えば、「ID・パスワードは忘れると大変なことになるので、メモ書きしてPCに貼り付けておくと良い。そう思うか、思わないか」といったような問題である。
テストの実施担当者は、うちの社員でこれを間違う人はいないだろうと、たいていおっしゃられるが、「そう思う」と答える人が意外といたりする。実施担当者は結果を見てショックを感じるようだが、テストをやって良かったと言われる。
その後のフォローで、できなかった人に対して「なぜだめなのか」というところをきちんと教育すれば良いわけであり、「セキュリティの穴」が見えたおかげでピンポイントで効率的に対策を講じることができるわけである。
こうして、社員の意識や知識が上がっていけば、おのずとセキュリティレベルは上がる。そのために、「誰が」、「どの部分が」、弱いのかを会社として知ることは必要なのである。
ただし、問題なのは、意識や知識は高くても、実践しない社員である。おそらくこのテストでは、「そうは思わない」と答えて正解しても、実際はPCに貼り付けていたりする人たちだ。
このように、「分かっていても、やらない」人には、別の教育が必要となる。それは、「どうしてセキュリティを実践しないといけないのか」、あるいは「セキュリティが低下した場合、どんなリスクがあるのか」といった根本的な動機付けである。
教育は手を変え品を変え、地道にやって行かねばならない。
---------------情報セキュリティ意識チェック 解答・解説--------------
Q.社内ネットワークへの自分のパスワードが他人に知られたと思ったら、次回のパスワード定期更新の際に変更しなければならない。
(1)YES(そう思う)
(2)NO(そうは思わない)
(2)NO(そうは思わない) が正解
定期更新まで待つのではなく、速やかに変更すべきです。
|
