情報セキュリティ基礎知識


情報セキュリティ対策におけるマネジメントの役割

企業の情報資産を守るためには欠かすことのできないのが、「情報セキュリティマネジメント」です。情報資産を守るためには企業としてどのように資産を守るのかルールを策定すると共に、実行する人間とシステムを正しく動かすことが求められます。情報セキュリティマネジメントはその中核を担う存在として機能します。

情報セキュリティマネジメントが機能していない企業では様々な問題が起きます。例えば、ウイルスセキュリティソフトを導入するだけで個人の可搬媒体利用を許可しているため、社員が重要資産を勝手に持ち出して売捌いたり、BYODで業務利用しているスマホを落としてしまい取引先の個人情報が漏れてしまうことや、システム開発会社に製造委託したシステムの脆弱性に気がつかずマルウェア感染を許してしまい、システムを乗っ取られ運営ができなくなる、といったことが起きます。

情報セキュリティマネジメントは企業の情報セキュリティを一定のレベルで維持するための重要なものであり、全ての対策を有機的につなげるものです。

会社の重要資産を守るルール策定

守るべき対象となる会社の情報資産を特定できていなければどんな対策も意味がありません。守るべき資産を特定した上で、その資産を守るためのルールを策定することです。

社員の情報セキュリティ理解度やシステムの品質により、実現可能な範囲が決まります。最初から高レベルの対策を実行することは難しいので、段階的にセキュリティ強化を図ることが望ましいです。それにはなにより、経営幹部の方が情報セキュリティ対策を経営課題として認識することが大切です。情報セキュリティ担当部署の問題ではなく、会社全体の問題として認識することがルール策定の第一歩となるでしょう。

情報セキュリティのルール策定

情報セキュリティ対策の体制構築

情報セキュリティのルールを実践するのは”人間”です。経営幹部が情報セキュリティマネジメントの責任者となりリーダーシップを発揮し現場社員の一人ひとりが当事者意識を持ち行動することが求められます。情報システムも同様です。

また、初期の設定のままだと外部の攻撃者から情報資産を守りきれないことが起こるので、状況に応じて設定内容を変更することが求められます。システムが検知した微妙な差異に気がつく社員がいて始めて成り立つものなのです。経営幹部のリーダーシップにより普段より社員の意識を高めておくことが必要となります。

情報セキュリティ体制

←前の記事 セキュリティマネジメント

次の記事→ セキュアシステム

コンタクト情報

Topics

Top