2007年05月22日 05時00分 公開
特集/連載

セキュリティポリシー:独り相撲はやめようColumn

セキュリティポリシーの策定、導入を成功させるためには、経営トップから監査人、従業員までを、とにかく巻き込むことだ。

[Harris Weisman,TechTarget]

 大多数の情報セキュリティ担当者にとって最も困難な仕事の1つが、情報セキュリティポリシーの策定、導入、適用である。セキュリティポリシーが必要であることは多くの企業が認めているものの、ポリシー問題に対処するためのプロジェクトに対して低い優先度、不十分なリソース、乏しい予算しか与えられないことは少なくない。多くの場合、情報セキュリティ担当者は、自分の裁量でポリシーを策定、導入し、スタッフを訓練し、ポリシーを適用しているのが実情だ。

 多くの情報セキュリティ担当者は最近まで、セキュリティポリシーの重要性を認識しながらも、社内においてポリシーの優先度が低いという現実に甘んじていた。米国法令環境の変化(SOX、GLBA、HIPAAなどの法律の施行)に伴い、企業はもはや情報セキュリティポリシーの整備を後回しにするわけにはいかなくなった。このため、情報セキュリティ担当者も企業にアクションを促さなければならない。以下に、セキュリティポリシーに関して社内・社外から支援を取り付ける方法を幾つか紹介しよう。

経営トップを巻き込む

 プロジェクトを迅速に推進するには、CEOやCFO(最高財務責任者)の支持を取り付けるのがいちばんだ。彼らの支持を獲得する上でカギとなるのは、セキュリティポリシーおよびポリシー適用の重要性を理解させることである。セキュリティポリシーは、従業員の行動の境界線、企業の資産を保護するためのインフラを構成する方法、そして企業がミッションクリティカルなデータをどのように防御し、セキュリティインシデントや災害の発生時にどう対処すべきかという指針を提供する。経営トップはセキュリティポリシープロジェクトを支持するだけでなく、自ら率先してポリシーに従わなければならない。経営トップが規則に従えば、従業員もそれに倣うものである。情報セキュリティ担当者は、現在の法令環境の下では、経営陣が企業の不正行為の責任を問われること、強力なポリシーを導入し、一貫性をもって適用することが不正行為を防止する上で有効な手段であることを経営トップに認識させる必要がある。

ITmedia マーケティング新着記事

news095.jpg

コト売り企業とモノ売り企業のレジリエンス(回復力)の違い――Zuora Japan調査
Zuora Japan2020年の「サブスクリプション・エコノミー・インデックス(SEI)」レポート...

news148.jpg

生活者視点から見たDX 受容層43.1%、拒否層12.5%――日本IBM調査
「IBM Future Design Lab.」の調査によると今後、DXの波は産業の場から生活の場へと拡張...

news146.jpg

マーケティングオートメーション(MA)を導入しない理由1位は4年連続で「高いから」――Mtame調査
2017年から続く「マーケティングオートメーション意識調査」の2020年版の結果です。