★本気で社内改革を希望されている経営者の皆様へ★
さいたま総研では、本気の改革をISOやPマークでお手伝いします。
【セキュリティマネジメント構築編】

１．セキュリティは最後は「人」に依存する
情報セキュリティのレベルは組織を構成するひとりひとりの意識に依存します。
しかし、ひとりひとりの意識を高めることが極めて難しいのが現状です。

たったひとりの不注意や理解不足が、組織にとって大きなペナルティにつながります。
最近は、USBメモリの取扱いは毎年の重点管理項目となっています。
官民問わず、ほぼ毎週、日本のどこかでセキュリティ事故が起きていますが、USBメモリの紛失などはその典型例です。
忙しさの中で、自宅で作業しようとして、ついUSBメモリで情報を持ち出し、たまたま紛失するなど、善意の行為のはずが思わぬ事故につながるケースが多いのです。

実は、この「良かれと思って行ったこと」が、結果として不注意につながる事例は、組織が社員を守れなかったということなのです。
よくセキュリティは「性善説ではなく性悪説に立て」と言われますが、なにも社員を疑えということではなく、人間は誰でも過ちを犯すので、それを未然に防ぐには、「人は放っておけば間違う」という前提で対応せよということです。

大切な社員を思わぬアクシデントから守るためには、多少窮屈でもルールを決める必要があります。これは親ごころなのだと受け止めて、ルールを周知させることが大切です。

２．教育は継続的に、永遠に･･･

情報セキュリティの教育は、１度でよいというものではありません。「人は放っておけば間違う」ものですし、「人は放っておけば忘れる」ものでもあります。ＰマークもＩＳＭＳも、定期的な教育を求めているのは、このためです。
認証取得したあとは、形式的な教育に終わらせずに、業務に直結した教材で、年間数回行うことが有効的です。
ルールを徹底することは、数か月で完結できることではなく、数年かけて全員に行うと覚悟を決めることが必要です。
労働安全のように、行動に表れるまで徹底的に正しいルールを身につけることが情報セキュリティにも求められます。
これは、絶え間ない教育活動なくして実現できない項目です。

３．教育のカリキュラム

教育については、各社それぞれ工夫をされています。大変よくやっていると思える企業ほど、実はヒヤリハットの報告事例も多いように思います。情報を守ることに敏感になると、自然とヒヤリハットに気付くのです。このヒヤリハットの検出度合いが企業のセキュリティを高めています。
この教育のカリキュラムとしてお勧めするのが、「気づきを与える事例」の提示です。
「他人のふり見てわがふり直せ」は情報セキュリティにも通じます。
さいたま総研のIT/ISO事業部では、教育カリキュラムにも企業の特色を加えてアドバイスさせていただきます。

次回は、監査についてご紹介しましょう。

さいたま総研　IT/ISO事業部　西宮恵子