中小企業のための情報セキュリティ対策

第5回 周知徹底は教育で、有効性は内部監査で

2013年2月18日
東京商工会議所
掲載:東商新聞 2012年2月20日号

中小企業診断士 新木啓弘氏が、情報セキュリティ対策について、機密性だけでなく、使いたい時に使える可用性のポイントなどを解説します。(全6回)

 前回までに、重要資産を決定し、そのリスクポイントから対策を考えた。それらの対策をまとめると情報セキュリティ規程(ルール)の基になり、企業として標準化までできたことになる。今回は、標準化から管理する段階に進んでいく。
 その手始めは、教育である。最低でも、年に1回は実施しておきたい。難しく考えることはなく、集合研修形式で規程(ルール)の読み合わせができれば十分である。ただ、これには欠点が1つある。規程(ルール)は、管理者が実施する条項も含まれていることから、社員にとっては難しく感じてしまうことである。一度に多くのことを求められても守れるわけがなく、教育をしたという実績に満足してしまうだけでは意味がない。おすすめの方法は、「これだけは10カ条」のように“どうしても必要なこと”を絞り込み、それを徹底していくことだ。それらの条項をカードに印刷して、身に付けておくことも一案だ。決めたことを少しずつでも、徹底できるようにプログラムしていくことを心がけていこう。
 また、教育後には必ずアンケートを取ることが肝要だ。キーワードは、「コミットメント」と「フィードバック」である。
 「コミットメント」は、たとえば、「あなたはこの1年間でどのようなことに注意して取り組んでいきたいと思うか」と問いかける。書くことで意識が高まり、しっかりとやらなければならないという動機づけにつながることを期待したい。
 「フィードバック」は、アンケートの中に「規程(ルール)の中で実施困難なものがあれば教えてほしい。また、代替案を提示してほしい」と問うことである。「ファイルにはパスワードを掛けること」というルールがあったとしてもパスワードの掛け方が分らないという社員が必ずいるものだ。そのような声を吸い上げ、確実に「フィードバック」をしてあげよう。
 更なる段階では、内部監査により、各施策の有効性をチェックしよう。ISOの品質や環境などで、内部監査の仕組みが構築されているのであれば、その流れの中に取り込んでいこう。規程(ルール)の語尾を疑問文にするだけでチェックシートはできあがる。すべての条項を監査することが望ましいが、必ずしも必要ではない。網羅性よりも、環境変化(人員やシステムの変更、内部の事故や予兆、同業他社の事故など)が生じた箇所に関係する条項を重点的に進めていこう。


著者略歴
中小企業診断士 新木啓弘(しんき よしひろ)
 1970年生まれ。2007年4月中小企業診断士登録。ビジネス競争力を高めるための経営基盤として、情報セキュリティマネジメントシステムの構築を推奨。身の丈にあった構築支援の他、経営相談、IT経営応援隊事業などの活動を主に行っている。

掲載:東商新聞 2012年2月20日号

以上