情報セキュリティに対するマネジメントのあり方

今日、ある研究会のセミナーで、講師をしました。

テーマは、「情報セキュリティに対するマネジメントのあり方」、そして「経営戦略と融合したマネジメントの必要性」でした。

参加された方々から、発表内容に関する質問、ご自身の考えや悩みなど、活発な発言があり、とても有意義な一日でした。

企業経営における主なリスクは、「経済的・社会的・組織的」リスクに分けられ、リスクを特定することで対策を立案することが可能となり、どの様に特定するかによって対策も変わってきます。

そこで、それぞれのリスクが企業にとってどのような存在なのかを特定し、対応することが企業経営の重要な要素であり、能動的にリスクに接する事が重要です。

能動的なリスク対策のポイント

そのための重要なポイントは、以下の３つがあげられると考えています。

ポイント１：多角的な視点でリスクを評価し、対策を講じる。

ポイント２：適切にバランスポイントを見極め、制度・業務プロセスや全社員の意識を改革する。

ポイント３：ポリシーの制定と実現に向けて全社的に取り組み、随時モニタリング・コントロールする。

その中で、特に情報セキュリティに関する事故は、大小を問わず依然として発生しており、企業にとっては対策すべきリスクの一つとなっています。

今回のセミナーでは、情報セキュリティにおける「経営戦略とリスクマネジメントの融合」への提案として、

• ・置かれている状況や組織及び業務に応じた
  「コスト・セキュリティ・利便性」のバランスのとり方に対する考え方

• ・「脅威や脆弱性の可視化」、「全体最適の追求」の重要性

を説明しました。

企業文化として定着

しかし情報を扱うのは、あくまでも社内外の人間であり、特に企業内であれば社員です。

いくら仕組みを作ったり、ハードを拡充するだけでは十分ではありません。

社会における自社や自分の存在（位置づけ）を認識することに加え、企業においても情報セキュリティ確保の重要性を啓蒙し続け、企業文化として定着させる努力が必要ではないかと思います。

今回、少し一般的な説明になってしまったこを反省し、次回は具体的な事例を交えて話をしたいと思います。