前回は情報セキュリティポリシーの流れについて解説しました。
文書作成慣れしていない方には1番面倒なお仕事上位になるでしょうね。

でも安心して下さい、名前負け(プレッシャー)しないで下さい。
大手でも中小企業でも基本的な内容(事項)は基本一緒です
既に世の中には汎用的なテンプレートも多数出ています。
対話型AIにサポート手伝っていただくのも良いでしょう。

中身も重要ではありますが先ずは体裁だけでも整えて行きましょう。
それが上位下達の「神の声」ですので。

セキュリティポリシーはどのレベルまで管理するの?

よく聞かれる内容です、IT専門部署的な体制のある大手企業ならまだしも
人員、予算、スキルに関してITに弱い中小企業の場合など
「弊社のレベルではそこまで求められても管理出来ないよ」
そんな際に聞こえる嘆き節に関してです。

先ずは安心材料からです

大手並みに揃えるのは間違いなくムリです(ね)
無理やり大手に合わせて出来もしない事を規定して形骸化する方がムダ業務です。

そこで行うのは、最低限の出来る部分をしっかりと規定化(ルール化)して
そこから徐々にはじめて行くスモールスタートのスタイルです。

でも全部を求められているから無理だよ

こんな声も聞こえそうですが
今まで出来ていないのにいきなり出来る訳ないじゃないですか?
なので先ずは出来る所から、規定化して行きます。

いきなり100点目指すのでは無く、優先順位を付けて
今期は30点目指す、来期は60点、そうして100点目指します。
と言うポートフォリオを明確にして、キチンとした運用ルールに落とし込みます。
もちろん重要度の優先順位付けは大切です

ルールとはやるべき事を明確に述べることも重要ですが
やらないこと(訳あって出来ないこと)を明示することもルールです。
ルールの中に努力目的を示して順次対応して行く旨を明示して行く。

そうして順次粛々と実施すると言うことが大切になります。
「親会社からの命令だから大変だ‼︎」では無く
それを受けて「弊社はどのような管理を行うか」にシフトすべきです。

ここが明確になれば、親会社からの指示に対して
「弊社の取り組み状況」をしっかりと報告出来る訳です。
この辺の落とし所は得意分野ですので相談に乗ります。

やるべき事はしっかりやる
出来ない事は出来ないと明示して代案を提示する。

…とは言え、ここまでの体制作りを一担当に任せるのは酷だよね。
デジタルが苦手な経営者、管理職も結構プレッシャーなのかもですね。

この辺の課題についても、一社一社の対応では無く
実施する内容は企業に関係無く世界共通の取り組みです。
レベル別に共通管理体制(ルール、チェックシート化)したいですよね。
これもまちの総務の役割かもです。