解決したい課題 セキュリティについて相談できる相手がいない
ISMS/ISO27001認証をはじめとする情報セキュリティの第三者認証は、取得するだけで満足するのではなく、取得した後の運用もとても重要です。
認証を取得した後の運用を怠ってしまい構築した体制が形骸化すると、セキュリティレベルが担保されず、せっかく認証を取得した意味がなくなってしまいます。
しかし、運用にあたっては、定期的にセキュリティ教育をしたり、必要に応じて規程を変更するなど、担当者の負担になることも少なくありません。
また、セキュリティ担当者が一人の場合や運用経験のある人が社内にいない場合は、運用していて疑問点や判断に迷うことが出たときに、どうすれば良いかわからず結果として自社にとって適切な運用を行えないこともあります。
運用にあたってセキュリティ担当者が抱える悩みとしてよく伺うのは次の通りです。
- 情報セキュリティルールが
守られていない - 実際の業務で行っていることと、セキュリティ規程の記載内容が大きく異なっているが、この状況がどうすれば解決するのか分からない。
- 判断に迷った際
誰にも相談できない - 社内にセキュリティに詳しい人がいないため、誰にも相談できず疑問点を解消できない。
- 教育時の資料の
作成が大変 - 定期的なセキュリティ教育の資料を作成するのに手間がかかり、内容もどうすればいいのかよく分からない。
考えられる原因
それでは、なぜそのような事態が起こってしまうのでしょうか。
多くの場合、セキュリティ担当者は他の業務と兼任で、かつ人数も最小限のことがほとんどで、社内にセキュリティについて精通している人がいないということも少なくありません。
また、インターネットなどで調べても、それが正しいのかどうか分からない、ということもあると思います。
セキュリティのことは社外の人に気軽に相談できるわけではないため、一人で悩みを抱えてしまう方が多いのではないでしょうか。
もたらされるデメリット
一人で問題が解決できず適切に運用ができないと、万が一情報漏えい事故が起きた場合、何もできず、被害だけが広がってしまう可能性があります。
運用が上手く回っていない場合、例えば次のようなリスクに直結し、情報漏えいを始めとするセキュリティインシデントを引き起こしかねません。
- 社内ルールが守られていない状況が続き、従業員が社内ルールを軽視するようになる
- 各種の監査や審査において、統制が効いていないことを指摘される恐れ
- セキュリティ教育が適切に行えず、社員のセキュリティ意識が低下してしまう
とはいえ、適切に運用したくても、相談できる人がいなければ何から始めたらいいか分からず、改善のための活動に一歩踏み出せないと思います。
専門的な知見を持った人間が不在であれば、信頼できるコンサルティング会社への依頼も選択肢に挙げてみましょう。
LRM株式会社が提供するコンサルティングサービス
LRMでは、情報セキュリティに関するお悩み、ISMSやPマークなどに関するお困りごとについて、弊社のコンサルタントが適切な助言やサポートを行うサービスを提供しています。
情報セキュリティに関する認証の取得支援や運用支援を提供してきたコンサルティング会社としての知見を踏まえ、情報セキュリティに関する日々の運用をご支援します。
ぜひこの機会に、社内の情報セキュリティのあり方を見直すキッカケとしていただき、マネジメントシステム運用から業務改善につなげていただければ幸いです。
