経営戦略、IT戦略、Web戦略、人材育成、内部統制整備のご支援を生業としています

カレンダー

04 | 2017/05 | 06
- 1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30 31 - - -

プロフィール

荒添美穂

Author:荒添美穂


☆公認システム監査人
☆システム監査技術者
☆ITCインストラクター
☆総務省電子政府推進委員
☆中小機構CIO育成チーフアドバイザー
・・・ 他

大学での講義や年間80件以上のセミナーを開催。
アイディア勝負のブルーオーシャン戦略支援を得意とする、中小企業の経営コンサル業を営み25年。
ネット活用の売上拡大支援では90%以上を売上3倍以上を、SEO対策は100%の成果を実現している。
創業支援から経営コンサルの育成・教育まで、「ありがとう」と言われるコンサルティングを身上とする。
※ 中小企業基盤整備機構、日本商工会議所、各所の中小企業支援センター、みらさぽ等の専門家派遣可


来て頂いて感謝♪


お世話になります!


RSSリンクの表示


上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

経営に資するセキュリティ対策:事業継続

当記事は、2010年3月4日の「セキュリティで儲ける」セミナーでお話した内容に準拠しています(後編)
また、公的に公表されている情報セキュリティガイドラインや、ISMSのガイドラインから引用加筆しています

icon_arrow.jpg 第2回を見る icon_arrow.jpg 第4回を見る  ※サイトマップはこちら


【第3回】経営に資するセキュリティ対策
セキュリティで儲ける
  ~大口顧客獲得策(後編)~



セキュリティ対策で儲ける(前編)
事業継続の視点から、取引先を選定し管理する義務を負う大企業は、
● 取引先の商品サービスの品質確保
● 取引先の商品サービスの安定供給
● 取引手続きの迅速性(システム対応など)
といったことを確認するために、普通、取引先の事業継続性や内部統制のあり方を見なければならないと書きました。


後編では、

人的にも、資金的にも、技術的にも、セキュリティ対策・内部統制にかける資源に苦しむ中小零細企業にとって、
◆この評価に見合うレベルに近づけ
◆費用対効果を最大にし
◆かつ、経営を圧迫しない程度のコストに抑える
ための対策について、記事にしておきたいと思います。


まず、やるべきことは、体制づくりです。
セキュリティ対策:体制図
誰がやるのか、責任と権限、マネジメントの仕組みを明確にします。
『うちは、こんな体制で、セキュリティ対策・リスク対策に取り組んでいます』と主張できるようにしておいてください。


次に、公表する文書として、セキュリティポリシーをつくります。
『対策って文書を作るんでしょ・・・それができないんです!守れないし・・』とおっしゃる方もおられましょうね。

文書の構成を整理すると、下の絵のようになります。
policy.jpg
セキュリティポリシーは、指針と概要の表明といった位置づけで、次のような内容を記載して、Webサイトで公表されると良いでしょう。
(1)趣旨・目的
(2)適用範囲
(3)位置付け(社内の他の規定類との関係や企業理念等との関係)
(4)セキュリティ方針
(5)運用体制
(6)監査体制
(7)違反者への罰則
※ 守るべき情報資産を洗い出したあと、変更してもかまいませんから、まずは、
  ・ やるんだという意思表明
  ・ どの程度やるかという確認
  ・ 罰則も含めての推進と点検の体制
 を明らかにしましょう。


外部に公表するのは、ここまでです。

いくらなんでも、実際にどのような運用をしているかや、どんな価値のある情報を持っているかは、公表すると大変なことになりますから!!!!


そして、社内にどんな守るべき情報資産があるかを洗い出します。
情報資産について、
◆ 失くすと(または洩れると)、どんな影響があり、損害がでるか
◆ どのくらい失くしやすいか(洩れやすいか)
を考えて、どんな風に守るかを検討します。

何が何でも、100%の対策をと考えると大変ですが、
本格的対策に時間やお金がかかるものについては、
リスクは、防御柵的『ここに落とし穴があるぞ=』と、社内で認識周知することも、立派な対策です。


次に、気づいたリスクを小さくする、回避する、消すための取り扱い手順を決めましょう。
このとき、規程を定めるという気負いや、規程は分厚いファイルであるべきとかいう既成概念は捨ててください

リスクレベルごとに、情報の媒体(紙、ディスクなど)ごとに
 ・ 鍵のついたロッカーに必ず保管しましょうといった約束
 ・ もしものときの持ち出し手順
 ・ 何かあったときに気づく体制
をシンプルな決め事
にされることをおススメします。


最後に、これらがきちんと守られているかを点検する、見回り体制を定めます。

誰かが、守られているかどうか、例外がたくさん発生していないかどうかを確認する仕組みがないと、なあなあ的規則化してしまって、
実際には、何の役にも立たないルールとなってしまいますので、ここ、とても大切です!!!

日々の点検と、点検がきちんとできているか、適切かを診る、年に一度の監査とが、この見回り体制の内容となります。

これによって、継続的にセキュアな体制を維持していくのでございます。


1.体制づくり
2.セキュリティポリシー作成
3.情報資産リスク)の洗い出し
4.情報資産リスク)の取扱い方を決める
5.仕組み運用の点検と監査の仕組みを決める
とまとめてしまうと、敷居が高く感じられるでしょうが、実際に実施することは、難しいことでも、お金のかかることでもありませんから、是非、取り組んでみてください。


そして、大企業さんとの取引時には、
『うちは、こんな姿勢で、こんな取り組みをしています』と、
想定される効果とともに、商品以外の利のご提供として、主張ご提案
されてくださいませね♪

案外、大企業さんもお困りの部分ですから、自信を持って、お取り組みください。

経営に資するセキュリティ対策:事業継続

当記事は、2010年3月4日の「セキュリティで儲ける」セミナーでお話した内容に準拠しています(後編)

icon_arrow.jpg 第2回を見る icon_arrow.jpg 第4回を見る  ※サイトマップはこちら



★ブログランキングに参加しています★よろしければ、クリックお願いします
arigato01.gif
FC2★→ f_01.gif
ブログ村★→ にほんブログ村 経営ブログ コンサルタント・コーチへ
人気ブログ★→ banner_02.gif
人気ホームページランキングへ
スポンサーサイト

経営に資するセキュリティ対策事業継続

当記事は、2010年3月4日の「セキュリティで儲ける」セミナーでお話した内容に準拠しています(前編)

icon_arrow.jpg 第1回を見る icon_arrow.jpg 第3回を見る  ※サイトマップはこちら


【第2回】経営に資するセキュリティ対策
セキュリティで儲ける
  ~大口顧客獲得策(前編)~



経営者って、

豪放磊落に見せても、大胆で果敢に見えても、
人脈厚く、人付き合いに長け、行動力に満ちている方でも・・・・

皆さん、

孤独を抱えておられますし、
失敗の恐怖を感じつつ・・・

これを隠して、または、押し殺して、過ごしておられるものでございます。


私の知る限り、
事業継続とリスクについて、考えたことのない経営者さんはおられません。
事業継続マネジメント(BCM: Business continuity management)とは、
企業が、さまざまな要因で、業務を停止せざるを得ない状況に陥るリスクについて、考え、対策して、
業務を止めない仕組みをつくること
です。

つまり、『何か』が起きても、
お客様に対して、継続してサービスを提供し続けること、
サービス提供の欠落を最小限抑えるような経営をすること
を 事業継続と呼ぶわけです。

そして、起きるかもしれない『何か』とは、
◆ 地震、火災、津波、火山噴火などの自然災害
◆ ミスや不正などの事件事故といった人的災害
◆ 機器設備の故障や、IT障害(システムトラブル)など
◆ 新型インフルエンザ、BSEのようなパンデミック
などなど、結構、そこらにころがっているものです。



ただ、弱気を振り払い前を向くときに、そこらあたりの懸念も振り払ってしまわれる経営者さんも多いようです。


綱渡りをするときに、下を見すぎると足がすくむので、視ずに平地と思い込んで走って進む・・・
そんな感じでしょうか。

普通に、『それでは危ないですよ!!命綱や下に網を張る準備も・・』ということも申し上げたいとは思うのですが、

今回は、視点を変えて、大口顧客獲得のために事業継続性を高めましょうというお話をさせて頂きます。


大口顧客と言っても、2種類あるかもしれません。
A 取引先が大企業で、相手の事業規模からすると大きくないが、自社からみると大規模取引となる
B 取引先の規模に関わらず、相手にとってもその事業継続を左右する大口取引である



Bパターンの取引先にとっては、御社の事業継続性は、自分の事業継続性を左右する大問題であることは、間違いありません。

現実、不況業種にあっては、取引先の与信管理(相手が潰れないか)は、売るほうも買うほうも、取引先選定のかなりの比重を占めています。


では、Aパターン
大企業にとってはどうでしょうか?!


こちらにとっては、大口取引だけれども、相手の大企業にとっては、さほどの取引規模ではない場合です。


大企業
たとえば、最近話題のトヨタさんとか、JALさんの規模の企業が、業務や事業を停止してしまったら、社会は混乱してしまいます。

そのため、大企業には、特に事業継続性を高め、維持するための対策が、義務付けられているのです。


会社法に定めれている、内部統制の確保の義務もそうですし、
J-SOX法だって、目的は健全な事業継続の確保を求めたものなのでございます。


つまり、事業継続の視点から、取引先を選定し管理する義務を負う大企業は、
● 取引先の商品サービスの品質確保
● 取引先の商品サービスの安定供給
● 取引手続きの迅速性(システム対応など)
といったことを確認するために、普通、取引先の事業継続性や内部統制のあり方を見なければならないのです。


特に、特殊工程などを委託したりする先での品質管理のあり方や、
新商品や技術情報を共有する下請けのセキュリティ対策の状況は、
大きなファクターとなります。


取引先で情報漏えいなどの事件事故が起きにくい状況でなければ、いくら大企業が社内でセキュリティ対策にお金をかけたとしても、取引先から洩れる可能性が高いですものね。


また、取引先の状況を調査、指導、監査したりといった業務も、かなり煩雑なものとなるでしょう。


生産を含む、取引周りの統制を確保し、
セキュリティ対策を施し、
対策状況を容易に提示できる状況を保つことは、
大口顧客確保の視点から、大きな差別化対策
でもあるのです。


でもでも、そうそう大きな金額をかけるわけには参りませんよね・・・・・

次回は、具体的に何をすればよいかについて記事にしたいと思います。

経営に資するセキュリティ対策:事業継続

当記事は、2010年3月4日の「セキュリティで儲ける」セミナーでお話した内容に準拠しています(前編)

icon_arrow.jpg 第1回を見る icon_arrow.jpg 第3回を見る  ※サイトマップはこちら



★ブログランキングに参加しています★よろしければ、クリックお願いします
arigato01.gif
FC2★→ f_01.gif
ブログ村★→ にほんブログ村 経営ブログ コンサルタント・コーチへ
人気ブログ★→ banner_02.gif
人気ホームページランキングへ

経営に資するセキュリティ対策:事業継続

当記事は、2009年7月14日のセキュリティトレンドフォーラムでお話した内容に準拠しています

icon_arrow.jpg カテゴリを見る icon_arrow.jpg 第2回を見る  ※サイトマップはこちら

内部統制リスク対策、中でもセキュリティ対策については、どなたもが共通で抱えておられる悩みがございます。

◆ セキュリティ対策はやるべきと認識しているが、どの程度までやれば良いのか
◆ 従業者教育はやるべきと認識しているが、どれくらいやれば良いのか


本日のセキュリティトレンドフォーラムで、私がお話しました基調講演におきましても、同様のご質問を頂きました。


『どんなに巨額を投じて対策しても、リスクはゼロにはならない』のです。

故意という視点では、組織の内部に2名、外部に1名の協力体制をとられたら、どんなセキュリティでも破れるでしょう。
また、故意でないヒューマンエラーをゼロにすることもできません。


まずは、失敗する(事件事故が発生する)体質チェックをしてみましょう。


では、質問です。
Q1. かなりの厚みの規程文書がある
Q2. 規程文書は、全社員が暗記している
Q3. 規程文書は、役員を含む全社員が遵守している
Q4. セキュリティ対策は、業務効率を阻害している
Q5. セキュリティ対策は、つまるところ人材教育だと思う
Q6. 危機(リスクの顕在化)が起こる度にルールが増える

○がふたつ以上あれば、御社は危ういと思ってください。


なぜなら・・・・・・・・・・・・・・


携帯電話のマニュアル、分厚くなりましたよね。
あれをすべて読破されるのは、3割に満たないそうです。全く開かないひとも1割いるとのこと。

ちなみに、私自身も、使いながらなんとかなるでしょ・・派で、あのマニュアルを読もうと思えない人間だったりいたします。


そもそも、日本人は、規則が形骸化しがちな民族です。
憲法自体が、アメリカ主導で、日本の実態などによらないところで作られたものですから、遵守しにくいものとして、神棚と同じような認識でいるからだと言われています。

制限速度を遵守しているドライバーは、どのくらいおられるでしょうか・・
逆に、制限速度30キロを遵守するドライバーは、他のドライバーから、『なんだ、あいつ』と思われるかもしれません。

企業内のルールも同様で、
言いたいことはわかるけど、守っていたら仕事にならない的な位置づけになりますと、ほとんどの規程は形骸化して、有効性を発揮できないのです。


つまり、遵守できない規程は、ないのと同じと肝に銘じておくべきものということなのでございます。 セキュリティ事件事故は、増加の一途です。
もちろん、これは、社会の認識が進んで、過去には見逃されたものまで、カウントされている背景もあるでしょうが、企業のセキュリティ対策投資金額の増加と比較して、その投資効果は現れていないということは、言えるかと思います。

経営に資するセキュリティ対策:事業継続

当記事は、2009年7月14日のセキュリティトレンドフォーラムでお話した内容に準拠しています

icon_arrow.jpg カテゴリを見る icon_arrow.jpg 第2回を見る  ※サイトマップはこちら



★ブログランキングに参加しています★よろしければ、クリックお願いします
arigato01.gif
FC2★→ f_01.gif
ブログ村★→ にほんブログ村 経営ブログ コンサルタント・コーチへ
人気ブログ★→ banner_02.gif
人気ホームページランキングへ

 | BLOG TOP | 


上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。