会社情報

パブリシティ

リスクマネジメントABC 情報セキュリティー 経営層の関与は必然 日刊工業新聞 2006年(平成18年)10月26日掲載

リスク管理
組織としてどのように情報セキュリティー対策に取り組めばよいのか---。この設問に対して、「経営層の適切な関与」、「情報セキュリティーポリシーの策定」、「マネジメントシステムの構築」が勘所として挙げられる。これら三点が重要であるという論調はここ10年にわたって言い続けられており、その重要性は今でも変わっていない。しかしながら、今日に至ってもこの勘所が地に足の着いた取り組みになっておらず、冒頭の設問が繰り返しなされているという実情はないか。

その理由として、経営層の理解不足や、予算上の制約などの要因が考えられるが、「外部の視点」の欠如という要素もここでは掲げておきたい。「外部の視点」についての詳細は、次週木曜日の本項で記すが、端的に言うならば情報セキュリティー対策に「どこまで」取り組めば良いのかという「尺度・評価軸」だと思ってもらえればよい。ステークホルダーとの適切なかかわりが不可欠の昨今では、この「外部の視点」なくして自らの取り組みの評価軸は適切に構築しえない。

今回の本項では、組織の取り組みとして求められる冒頭三点の勘所からまず確認していきたい。
一点目は、「経営層の適切な関与」である。経営戦略とIT戦略を一体となって進めることは、今や多くの組織が意識されているであろう。この状況下では、IT戦略に経営層が関与すること、すなわちそのセキュリティー対策にも関与することは理論上必然となる。なぜならば、IT活用の裏に潜むリスクが、そのまま経営リスクに直結する可能性を含むためである。
具体的には、経営層が情報リスクの評価や対策計画立案に、組織横断型の委員会などの形でかかわりを持つ方式などがある。実施された対策の状況をモニタリングし、事故の予兆や、事故発生時の迅速な対応態勢の整備も同様の関与の仕方がある。形は異なりこそすれ、こうした取り組みを「自信を持って推進」されておられるだろうか。

二点目は、「情報セキュリティーポリシーの策定」である。情報の安全性確保のためには、まずリスクの把握と評価が欠かせない。その上で組織として、このリスクの許容の可否を整理する。この結果を踏まえ、通常業務における環境や手続きの整備を行っていく。しかし業務現場の担当者に、対策の実施レベルに関する判断を委ねていては、組織が許容しえないリスクが顕在化しかねない。
こうしたリスクを抑止するためにも、情報セキュリティーポリシーを明文化し、判断に個人の裁量が入らぬよう組織的に周知していくことが必要である。
表に示す通り、ほぼ半数の企業で情報セキュリティーポリシーが既に策定済みである。しかし策定済みの企業においても、冒頭の設問に該当しないとは言い難いのではないだろうか。

情報セキュリティーポリシー三点目は、「マネジメントシステムの構築」であるが、この構築のための留意点や、これと密接に関係する「外部の視点」については、次週木曜日の本項で記す。
(日本総研ソリューションズ)

執筆 技術本部:石川 晃

※日刊工業新聞 2006年10月26日 掲載記事より転載

PDF版はこちらから(288KB)PDF

ページトップへ戻る

JSOLへのお問い合わせ

特集

特集SAP

SAP ERPの豊富な導入実績があり、企業の業務改革を総合的にご支援します。

特集Biz∫

人とシステムの融合による業務効率化を目指し、あらゆる企業の変革を迅速かつ確実に実現します。

特集オムニチャネル

コンサルティングからソリューションまでオムニチャネル化に向けた最適なご支援を提供します。

特集JSOLアグリ

農業生産に係る数理計画を中核に、農業生産者の経営指標の見える化と収益拡大を実現します。