|
■情報セキュリティ意識チェック
情報セキュリティに対する皆様の意識や知識をセルフチェックするものです。
「YES」か「NO」か、考えてみてください。
Q.企業が信頼度をアピールするため、情報セキュリティに対する取り組みの詳細について、ホームページ上で公開する必要がある。
|
| |
(1)YES(そう思う)
(2)NO(そうは思わない)
|
| ※解答及び解説は本文末尾に記載しています。 |
■情報セキュリティ基礎講座
「ISMSの準備体操」
「ISMSの構築といっても何から始めればいいのか分からない」という声をよく耳にします。この疑問に対する正解というものは無いのですが、「自分を知ること」から始めてはいかがでしょうか。
自分を知ること−企業の場合は自社を知ることですが、従業員は何人で組織体系はどうなっていて、ネットワーク構成はどうなっているのか、これらを突き詰めていくと社内にある守るべき資産は何なのかという「情報資産の洗い出し」という作業に繋がっていきます。
自社のことを知らないと、最適なISMSを構築することはできません。
自社を知らずにいきなりISMSを構築するということは、サイズの合わない服を無理やり着るようなもので、窮屈すぎて本業がうまくいかなくなったり、逆に緩すぎて本来のセキュリティ機能が働かなかったりすることにつながります。
自分のどこが弱いのか?どう補強すればいいのか?人間の体だってこれらを無視して闇雲にトレーニングをしても効率的ではありません。
ISMSも同じです。自社にとって最適なISMSを構築する準備体操、それが自社を知ることなのです。
■[連載]〜コンサルの現場から〜
一罰百戒
ISMSを導入しようとする企業は、当然ながら情報セキュリティへの意識が高い。ただし、あまり張り切りすぎると良くない。
例えば管理部門が営業現場等に対し、セキュリティ対策と称して次から次へと厳しいルールを課していくと、現場は混乱し、業務が回らなかったり、また嫌気がさして、ルールを守らなかったりと、逆効果になる場合もある。
また、事件や事故が発生した場合、当事者に対して「周囲への見せしめ」となるような厳しい叱り方をするのも考え物である。
当然、再発防止のために、当事者への適切な指導・教育は必要だが、一罰百戒の精神で臨むと、現場は萎縮してしまう。
さらに、実際にあった例だが、現場の他の人たちが「あんな風に叱られるのはいやだ」と感じ、事件・事故が発生しても、報告せずに隠蔽しようという動きが出る可能性すらある。
情報セキュリティへの意識は高い方が望ましいが、実際の運用はリスクや業務への影響など、さまざまなことを考慮しながらバランス良く実践されなければならない。
それが、最適なマネジメントシステムである。
---------------情報セキュリティ意識チェック 解答・解説--------------
Q.企業が信頼度をアピールするため、情報セキュリティに対する取り組みの詳細について、ホームページ上で公開する必要がある。
(1)YES(そう思う)
(2)NO(そうは思わない)
(2)NO(そうは思わない) が正解
情報セキュリティ対策の詳細を公開すること自体、セキュリティ的な問題となります。自分の手の内をさらしてしまうようなことは避けるべきです。
|
