目次
会社・組織の秘密を守るためには、秘密をキチンと守れるような組織にしなければなりません。
社員は必ずルールの抜け穴を探します
どんなにキチンとルールを作っても、抜け穴は必ずあります。
業務についてよく考えないで情報セキュリティのためのルールを作ると、社員は自分の仕事がうまく進まないと仕事が滞り、自分の成果が出なくなってしまうので、なんとかルールの穴を開け探して、自分だけがうまく進むようにしようとします。
ルールの抜け穴ですから、社内上は何も問題はありません。
でも、その抜け穴を抜ける行為により、重大な情報セキュリ上の問題が発生したら、あなたの会社・組織は社会からレッドカードをもらうことになってしまいます。
無理せず情報セキュリティを守ることのできる組織を作るには
情報セキュリティの必要性を組織全体で共有する
まずは、情報セキュリティの必要性を組織全体で認識することから始まります。
その組織のトップが、情報セキュリティの必要性についてのすべての責任を持つことを組織全体に示し、すべての問題の責任を持つことを明確にする必要があります。
組織内にある情報の洗い出し作業を一人一人が行う
そのために必要なことは、その組織において情報セキュリティに必要なことを、組織員全員で洗い出す作業を進めることが重要になります。
組織員全員が持っているすべての情報を洗い出し、その情報ひとつひとつに、組織上での秘密のランクをつける必要があります。
共有するのはあくまでも守るべき情報の洗い出しと機密レベルの設定だけです。
よくある失敗ケースは、みんなで情報セキュリティ体制の構築を共有する必要があるからと、ルールを作るところから全社で取り組むケースです。
情報セキュリテイで重要なことは、守らなければならない情報をどうやって取り扱うかということ。
一般の社員が、パソコンの細かい操作方法とか、ISMSの規格を理解している必要は全くありません、
どんな情報が社外に漏れたら会社の経営に大問題となるかどうかだけ気にすればいいのです。
ルールづくりは、情報セキュリテイの担当者や責任者、もしあなたの会社がISMSの認証を取得しなくてもいいのであれば、ルールづくりは外部コンサルタントに委託して、社内では情報の中身とその情報の格付けをしっかりするようにしましょう。
情報の格付けは、その情報を扱っている部門でしか行うことができません。
格付けがその部門での情報セキュリテイの取扱ルールを作るとも言えます。
自分たちのルールは自分たちに作らせることで、言い訳ができないような状況にすることが重要です。
作業は一人一人だが投げっぱなしにしてはいけない
組織がどんな情報を扱っているのかは、まず組織員個人個人がどんな情報を取り扱っているかの洗い出しから始まりますが、組織のトップは、その作業を個人個人に投げっぱなしにしてはいけません。
作業を通して、情報セキュリティの必要性を組織員全員にきちんと理解させる必要があります。
説明会の開催はもちろんのこと、情報の洗い出し作業も会議などで直接指導しながら行うことが求められます。
会社のセキュリティ対策は、情報ネットワークだけでは不十分です。
会社の情報漏洩は、パソコンだけではありません。
現代は、スマホなどを使った企業での盗聴、盗撮による情報漏洩が多くなっています。
ライバル企業が妙に自分たちの情報に詳しい、社内から盗難の申告が増えた、顧客からの苦情が増えた、長年の顧客から契約を打ち切られた・・・
それは、盗撮や盗聴で情報が漏洩しているからかもしれません。
一大事になる前に、専門家の調査を受けましょう!
