前回は「身の丈にあった「情報セキュリティポリシー」の策定について考察しました。
実際の所、企業規模や予算、人員が受託な大手や行政などであれば実現できても
それらに及ばない中小零細にまでルールとしての遵守を求められます。
であれば「身の丈にあったものを…」とご提案しても
「親会社からの指示なので、そんな悠長な事は言ってられない」が実の所、本音です。
親会社に指示なので、表面上でも見繕ってやってる感を出しましょう。
が表立っては言えないですが現場の本音です。
そこで身の丈にあった「情報セキュリティポリシー」の策定について提案しました。
情報セキュリティポリシーの進む未来像
今回は最終章になります。情報セキュリティポリシーの進む未来像についてです。
「まちの総務」の立場で再三お話ししていますが
そもそも「情報セキュリティポリシー」自体をなぜ各社が別々に作らなくてならないのか?
なぜ各社が別々に作らなくてならないのか?
こんな疑問になりませんか?
デジタル脅威は企業規模に関係無く、平等に起こり得る内容ですよね。
降り注ぐ脅威は企業規模や職種には関係ないですが
あり得るのは企業規模や対応力(組織、予算)が企業によって違う事で
それを受けての、各社別々のポリシーになる訳です。
実はここに大きな落とし穴が有り、弊社は自動車関係だから特に厳しいとか
重要機密を扱っているから厳しいとかでは無く
危険に対する対応を取っているかの管理が「セキュリティルール」になる訳です。
危険に対する対応を取っているか否かの議論では無く
全企業、全社員が危険度や対応策を意識して運用しましょうが根底にあります。
それが「上位のルール」で有り、それを受けての社内規模での出来る範囲、守るべき内容
やるべき運用が「ポリシー」になりうる訳です。
ポリシー(policy)とは、政策、方針、規定などの意味を持つ英単語。 日本語における一般の外来語としては
個人の信念や信条などを表すことが多いが、英語では組織や政治における政策や方針、指針といった意味が一般的である。
「ルール」は各社各々では無く、一つの指針が必要
ここから踏まえた場合、まずは全体ルールが有り
会社として、それのどれを選択してポリシーにして運用&管理を行うのか?
これが情報セキュリティポリシーにあたると考えます。
そこから紐解くと「ルール」は各社各々では無く、一つの指針(国が定めれば良い…と思う)に沿って
社内で運用&管理出来る内容を「ポリシー」として策定
その結果、各社が最低限実施すべき内容を網羅して「運用方法」を明記する
こんな運用で良くないですか?
これらを無責任に企業毎に求める事で、ピントハズレなルールが出来たり
ルールを作るためだけに工数をかけたりと少し違う方向に向かっている感じです。
まずは共通項目(大風呂敷)を広げて、自社の守るべき「ポリシー」を明確にして
「運用方法」を選択していく事で、標準的な管理るルールとしての程は整うと思います。
その上で、やっぱり立派な法律作っても実行するのは各企業の各社員です。
重要なのは啓蒙教育と抑止力(管理してますよ的な)なると思います。
是非とも「まちの総務」としては、共通項についての啓蒙活動をサポートして行きたいと思います。