経営戦略、IT戦略、Web戦略、人材育成、内部統制整備のご支援を生業としています

カレンダー

10 | 2017/11 | 12
- - - 1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30 - -

プロフィール

荒添美穂

Author:荒添美穂


☆公認システム監査人
☆システム監査技術者
☆ITCインストラクター
☆総務省電子政府推進委員
☆中小機構CIO育成チーフアドバイザー
・・・ 他

大学での講義や年間80件以上のセミナーを開催。
アイディア勝負のブルーオーシャン戦略支援を得意とする、中小企業の経営コンサル業を営み25年。
ネット活用の売上拡大支援では90%以上を売上3倍以上を、SEO対策は100%の成果を実現している。
創業支援から経営コンサルの育成・教育まで、「ありがとう」と言われるコンサルティングを身上とする。
※ 中小企業基盤整備機構、日本商工会議所、各所の中小企業支援センター、みらさぽ等の専門家派遣可


来て頂いて感謝♪


お世話になります!


RSSリンクの表示


上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

経営に資するセキュリティ対策:事業継続

当記事は、2010年3月4日の「セキュリティで儲ける」セミナーでお話した内容に準拠しています(後編)
また、公的に公表されている情報セキュリティガイドラインや、ISMSのガイドラインから引用加筆しています

icon_arrow.jpg 第2回を見る icon_arrow.jpg 第4回を見る  ※サイトマップはこちら


【第3回】経営に資するセキュリティ対策
セキュリティで儲ける
  ~大口顧客獲得策(後編)~



セキュリティ対策で儲ける(前編)
事業継続の視点から、取引先を選定し管理する義務を負う大企業は、
● 取引先の商品サービスの品質確保
● 取引先の商品サービスの安定供給
● 取引手続きの迅速性(システム対応など)
といったことを確認するために、普通、取引先の事業継続性や内部統制のあり方を見なければならないと書きました。


後編では、

人的にも、資金的にも、技術的にも、セキュリティ対策・内部統制にかける資源に苦しむ中小零細企業にとって、
◆この評価に見合うレベルに近づけ
◆費用対効果を最大にし
◆かつ、経営を圧迫しない程度のコストに抑える
ための対策について、記事にしておきたいと思います。


まず、やるべきことは、体制づくりです。
セキュリティ対策:体制図
誰がやるのか、責任と権限、マネジメントの仕組みを明確にします。
『うちは、こんな体制で、セキュリティ対策・リスク対策に取り組んでいます』と主張できるようにしておいてください。


次に、公表する文書として、セキュリティポリシーをつくります。
『対策って文書を作るんでしょ・・・それができないんです!守れないし・・』とおっしゃる方もおられましょうね。

文書の構成を整理すると、下の絵のようになります。
policy.jpg
セキュリティポリシーは、指針と概要の表明といった位置づけで、次のような内容を記載して、Webサイトで公表されると良いでしょう。
(1)趣旨・目的
(2)適用範囲
(3)位置付け(社内の他の規定類との関係や企業理念等との関係)
(4)セキュリティ方針
(5)運用体制
(6)監査体制
(7)違反者への罰則
※ 守るべき情報資産を洗い出したあと、変更してもかまいませんから、まずは、
  ・ やるんだという意思表明
  ・ どの程度やるかという確認
  ・ 罰則も含めての推進と点検の体制
 を明らかにしましょう。


外部に公表するのは、ここまでです。

いくらなんでも、実際にどのような運用をしているかや、どんな価値のある情報を持っているかは、公表すると大変なことになりますから!!!!


そして、社内にどんな守るべき情報資産があるかを洗い出します。
情報資産について、
◆ 失くすと(または洩れると)、どんな影響があり、損害がでるか
◆ どのくらい失くしやすいか(洩れやすいか)
を考えて、どんな風に守るかを検討します。

何が何でも、100%の対策をと考えると大変ですが、
本格的対策に時間やお金がかかるものについては、
リスクは、防御柵的『ここに落とし穴があるぞ=』と、社内で認識周知することも、立派な対策です。


次に、気づいたリスクを小さくする、回避する、消すための取り扱い手順を決めましょう。
このとき、規程を定めるという気負いや、規程は分厚いファイルであるべきとかいう既成概念は捨ててください

リスクレベルごとに、情報の媒体(紙、ディスクなど)ごとに
 ・ 鍵のついたロッカーに必ず保管しましょうといった約束
 ・ もしものときの持ち出し手順
 ・ 何かあったときに気づく体制
をシンプルな決め事
にされることをおススメします。


最後に、これらがきちんと守られているかを点検する、見回り体制を定めます。

誰かが、守られているかどうか、例外がたくさん発生していないかどうかを確認する仕組みがないと、なあなあ的規則化してしまって、
実際には、何の役にも立たないルールとなってしまいますので、ここ、とても大切です!!!

日々の点検と、点検がきちんとできているか、適切かを診る、年に一度の監査とが、この見回り体制の内容となります。

これによって、継続的にセキュアな体制を維持していくのでございます。


1.体制づくり
2.セキュリティポリシー作成
3.情報資産リスク)の洗い出し
4.情報資産リスク)の取扱い方を決める
5.仕組み運用の点検と監査の仕組みを決める
とまとめてしまうと、敷居が高く感じられるでしょうが、実際に実施することは、難しいことでも、お金のかかることでもありませんから、是非、取り組んでみてください。


そして、大企業さんとの取引時には、
『うちは、こんな姿勢で、こんな取り組みをしています』と、
想定される効果とともに、商品以外の利のご提供として、主張ご提案
されてくださいませね♪

案外、大企業さんもお困りの部分ですから、自信を持って、お取り組みください。

経営に資するセキュリティ対策:事業継続

当記事は、2010年3月4日の「セキュリティで儲ける」セミナーでお話した内容に準拠しています(後編)

icon_arrow.jpg 第2回を見る icon_arrow.jpg 第4回を見る  ※サイトマップはこちら



★ブログランキングに参加しています★よろしければ、クリックお願いします
arigato01.gif
FC2★→ f_01.gif
ブログ村★→ にほんブログ村 経営ブログ コンサルタント・コーチへ
人気ブログ★→ banner_02.gif
人気ホームページランキングへ

コメント

コメントの投稿



管理者にだけ表示を許可する

トラックバック

http://intpark.blog116.fc2.com/tb.php/410-1677c2e2

 | BLOG TOP | 


上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。