目次
情報セキュリテイを組織内に周知徹底を図るためには、やはり文書化された規則が必要です。
よくあるケースで、役員が社員の細部に干渉してくる、これはダメな組織の典型です。
こういうことやったら、社員の自主性はどんどんなくなり、役員のいうことしか聞かなくなり、いざという時全く動かず、言い訳ばかりする組織になってしまいます。
役員は会社の方針を定めるために存在しているのであり、方針を示し決定したら、そのルール通りに会社が動いているかどうかを確認するのが役目です。
具体的なルールづくりや、ルール通りに情報セキュリテイが運営されているかどうかの確認は、担当社員や外部コンサルタントに委託することにしましょう。
効率よく動く組織の文書体系
「方針(規則)」→「規程」→「手順」
それぞれの役割をきちんと認識した文書を作成すべきです。
組織のトップは、組織全体に対する方針を制定し、組織がその方針に基づいて運営されているかどうかをチェックすべきです。
組織の内部にある各部門の長は、組織の方針をきちんと理解し、方針に基づいて作成された情報セキュリティ遵守のための規程をきちんと理解し、規程に沿って組織を運用しなければなりません。
ISMS規格に基づく、情報セキュリティを守るため組織に必要な文書体系の整備
ISMSでは、組織はまず基本方針文書を作成し、取り扱いのマニュアルを作成することを規定しています。
この考え方をもとに、どういう組織内でどのように文書を定めたら良いかを見ていきましょう。
「基本方針文書」
組織のトップが、組織全体になぜ情報セキュリティのルールを制定するのかを明確にする文書です。
情報セキュリティのルールを適用する組織や業務、その理由、誰が責任者なのかなどを明確にします。
基本方針文書に基づいて役員が社内ルールを定める「規程」
トップが定めた「基本方針文書」に基づき、情報セキュリティのルールの実施責任者が、組織毎や業務ごとの役割や責任者・取扱者及び取り扱い方法など、情報セキュリティルールの「原則」を明確にします。
ISMSでは「マニュアル」と呼称していますが、一般的な会社では「規程」に相当するものです。
部門の業務実施責任者が規程に基づいて具体的な業務取扱を定める「マニュアル」
「規程」に基づき、各部門の責任者が情報セキュリティ上の具体的な取り扱いを文書に定めます。
一般的な会社では「手順」とか「マニュアル」と呼ばれているものです。
必ずしも文書である必要はなく、メモやメール連絡などでも構わいません。
業務上作成した業務処理手順に、情報セキュリティ上の取り扱い方法を追記したものでも構いません。
会社のセキュリティ対策は、情報ネットワークだけでは不十分です。
会社の情報漏洩は、パソコンだけではありません。
現代は、スマホなどを使った企業での盗聴、盗撮による情報漏洩が多くなっています。
ライバル企業が妙に自分たちの情報に詳しい、社内から盗難の申告が増えた、顧客からの苦情が増えた、長年の顧客から契約を打ち切られた・・・
それは、盗撮や盗聴で情報が漏洩しているからかもしれません。
一大事になる前に、専門家の調査を受けましょう!
