あなたは自分の会社にどのようなルールがあるか把握していますか?
当然、定時は9時~18時、ボーナスは何か月分、喫煙所はあっちなどのルールは把握されていますよね。
でも、重要なのは情報セキュリティに関するルールです。
あなたの所属している組織にもあるはず。
そして、情報セキュリティ方針を定めるのは誰か?
間違いなくあなたの会社の社長さんです。
社長さんは、自社の情報セキュリティに関する方針を決めるにあたり、
サイバーセキュリティ経営ガイドライン(※1)
という基準に沿って、3原則を踏まえた策定をしているはずです。
今回はそんな自社の社長が意識するセキュリティ3原則についてお話ししていきましょう。
【1】セキュリティ投資
セキュリティ投資とは、サイバー攻撃をすべて防ぐのは難しいという視点から始まります。
具体的には、リスクの許容度を定めます。
「ここまでは許容しよう」
「これだけは守ろう」
社長はセキュリティリスクを定量化して、適切なセキュリティ投資を行っています。
【2】関連会社も含めたセキュリティ対策の推進
自社だけが情報セキュリティを徹底するのは当たりまです。
大企業になればなおさらでしょう。
しかし、発注先のビジネスパートナーが事故を起こしたらどうでしょう?
結局、自社にも被害が波及し、最悪、尻拭いをしなければなりません。
このため、関連会社も含めてセキュリティ対策を推進していく必要があります。
具体的には、各社の社長は可能な範囲でセキュリティ対策の意思統一を行っています。
【3】自社のセキュリティ対策に関する取組みの情報開示
それでもセキュリティ事故は起こります。
サイバー攻撃も起こるでしょう。
しかし、社長は、そんなトラブルの時を見据えて、予め、どのようなセキュリティ対策を行っているか情報開示しておきます。
取引先との不信感を抑制する目的で、先に出しておくのです。
トラブルが起きてから情報を開示しては遅いのです。
【情報セキュリティ】自社の社長が意識するセキュリティ3原則とは? おわりに
いかがでしたでしょうか。
自社の社長が意識するセキュリティ3原則。
これらは、社長さんと社員の 数少ない共通点 です。
あなたも社長さんと車座ミーティング(※2)などで、昨今のセキュリティについて話す機会があるでしょう。
そんな時、この3原則を知っているか知らないかで、社長さんのあなたを見る目が変わってくるはずです。
是非、自社でどんなセキュリティ対策が行われているか把握しておいてくださいね。
最後までお読みいただきありがとうございました。
(※1)経済産業省がIPA(情報処理推進機構)と策定しているガイドライン
(※2)人が輪のように内側を向いて並んで座り語り合うこと。ビジネスでは幹部社員と一般社員が会社の課題などをざっくばらんに話すことができる貴重な場である。一般社員の語る視点の低い課題は、修羅場をくぐり抜けた幹部社員には単なる甘えの愚痴に聞こえたりするので、本当にざっくばらんに話すにしても十分に言葉を選ぶ方がいいでしょう。
Photo by Tobi Oluremi on Unsplash
