« 2006年6月 | トップページ | 2008年2月 »

2006年9月13日 (水)

ブログのテーマ

最近、このブログのテーマについて考えることがあって当初はユーザ企業におけるシステム構築の実際について記載をしていくことにしていたが、書く内容がセキュリティ関連の色が強くなってきたことと、しばらくブログを中断していたのは株やFXについてセミナーや書籍から少し勉強をしていたことがあって今まで得たマネーに関して自分なりに得た知識を公開して頭を整理したくなった。そこでブログのテーマをマインドマップ的に表現してみた。今後は不定期になると思うが、テーマに絞った内容で書いていきたいと思う。ブログの画面向かって右にブログテーマのマイリストを追加している。

ダウンロード thema.JPG (54.1K)

| | コメント (0) | トラックバック (0)

2006年9月12日 (火)

セキュリティポリシー

セキュリティポリシー策定の手順をもう少し詳細にしてみると

1.経営トップにセキュリティ委員会を組織化とセキュリティポリシーの発行の承認を依頼する。
(策定計画作成)

昨今の情報漏洩事件とその対応例などを用いて対応によっては企業イメージを損ない売上げや株価に影響を及ぼすことを認識して頂く、例えばYahooBBの漏洩事故では損害賠償費で約60億円、売上げの機会損失も数十億円と思われ、速やかに対応し顧客への不安を取り除くことが重要と考える。パロマの用に不祥事を隠蔽することは問題外だが、誠意を示す余り情報漏洩を公表後にその内容を何度も訂正をするようなことが無いように漏洩が発覚した時に速やかに対処できるよう分かりやすく手順化しておくことが大事である。漏洩件数など発表するたびに変わるようであると情報管理ができていないずさんな企業と思われてしまい、更に信頼をなくしてしまう。恐らくYahooBBの場合は公表をする度に漏洩件数が増えていった為、顧客の不安感が逆に高まり客離れを誘発したと思われる。
そういった意味では松下電気の石油暖房機の対応は徹底している。方針として全ての対象とする機器が回収できるまで活動を続けるという点、全ての宣伝活動を機器の回収に切り替えるなど一貫した対応により、顧客に安心感を与え企業イメージを損なわずにすんだのではないか。
個人情報保護法の対策として過去の顧客リストを削除することで情報保有のリスクを回避しようという対策が仇になったのだが、その責任をきちんととる姿勢が評価されているのではないか。日本を代表する企業であるので、一般的な企業が同じ対応ができるかといったら疑問であるが・・
漏洩事故や事件が起こらないように対策を打つのはコスト的にもビジネスを推進する上でも限度がある、その為、事故や事件が起こることを前提にした対応手順や体制を確立することがより重要である。
ということを経営トップが理解し全社員へ徹底できるような社内体制作りを経営トップが率先して実施頂くこと、且つセキュリティポリシーの発行者になって頂くことを依頼する。その為の計画策定と説得材料をまとめるステップである。

| | コメント (0) | トラックバック (0)

2006年9月 3日 (日)

セキュリティポリシー

昨今の情報漏えいや不祥事に対する社会の目が厳しくなってきていることを背景に情報セキュリティポリシーを整備しようとしている企業は増えているのではないかと感じるが、いかがであろう・・・ セキュリティポリシーを策定する作戦として

1.経営トップにセキュリティ委員会を組織化とセキュリティポリシーの発行の承認を依頼する。(策定計画作成)

2.セキュリティ委員会として既存の業務規定などを監査をする委員会に併設を承認。

3.セキュリティポリシー文書(案)とリスク分析の仕方を作成し設置したセキュリティ委員会でレビュー。

3.リスク分析の仕方を参考に各部門でリスク分析の実施。

4.リスク分析を基にセキュリティ管理規定を作成、または既存規定類の見直し修正。

5.セキュリティポリシーに従って対策の実施とセキュリティ管理規定の見直しサイクルの確立(PDCA)。

以上のような手順で実施を考えている。ポイントは新たにセキュリティ委員会を組織化するのではなく既存の同じような機能を持った委員会を流用する。課題が増えるため委員会に属する担当者の負荷は増大するが、新たに組織化することや社内で新た認知させる労力より現実的であると考える。できれば委員会の担当者に対する人事的な考課、もしくは手当てを考えたいが、なかなか難しいところと思われる。あとはセキュリティポリシーを全社員に徹底させることが重要となるが、いくつもの規定類を見て理解する時間はなかなか取れないと思われる、自分の業務に関連するものであってもである。となると公開の仕方を工夫しなくてならない。何ページにもおよぶセキュリティ文書ではなくそれを要約したものを1ページ程度にまとめて常に目に付くようにしたい。事務所の壁に貼る、トイレに貼るなど・・・ある会社は事業方針をトイレの鏡越しにみれるようにしているという。

| | コメント (0) | トラックバック (0)

2006年9月 2日 (土)

本の紹介

「グーグル Google ~既存のビジネスを破壊する」という本を読んだ、結構人気のある本のようであるので買ってみた。電車通勤の往復2時間を2日で読み終えた。グーグルの戦略を具体例をつかって面白く読めた。自分も検索エンジンとして活用している。またグーグルマップが好きで仕事の昼休みはよく見ている。

グーグル―Google 既存のビジネスを破壊する  文春新書 (501) Book グーグル―Google 既存のビジネスを破壊する 文春新書 (501)

著者:佐々木 俊尚
販売元:文藝春秋
Amazon.co.jpで詳細を確認する

| | コメント (0) | トラックバック (0)

個人情報保護対策(その3

2ヵ月半ぶりに記事を書く、何事も続けることは難しい・・・文章を書く練習と思って6月からブログをはじめたが見事に3日坊主となってしまった。ここのところ会社の景気が悪く仕事をするための予算削減で、下期に向けた仕事の調整で方針が2点3点してすっかり仕事のやる気を失ってしまった。そんな感じで週末のウインドサーフィンのみが楽しみで過ごしてきた。

そんな中で私の会社で情報セキュリティポリシーを策定しようと作戦をねっている、セキュリティポリシーらしきものはあるが、全社的な経営陣によって発行されPDCAのサイクルをまわすような運用まではされておらず、ウィルス対策やファイアウォール設置など規定を定めたものまでは存在している。昨今のパロマやダスキン隠蔽問題などを考えたときに会社の不祥事がたとえここまで大きな問題でなくても社会の目が非常に厳しきなってきている。そんなことで最近の情報漏えい事件の報告数は非常に増えているようである、実際、消費者や顧客に悪影響をおよんでいないにもかかわらず報告数は伸びているようである。要は企業がそれだけ情報セキュリティに関して敏感になっていることが伺われる。私の会社においても危機感をかんじており情報漏えいや不祥事に対するスピーディな対処や漏洩しても消費者に悪影響を及ぼさない対策をとる必要性を感じ情報セキュリティポリシーの策定を進めるにいたった。策定で注意をしている点はセキュリティポリシーが絵に描いた餅にならないようにするかということである。市販の本から文章を抜き出してそれらしく作ることは可能であるが、それでは当然全く意味をなさない。どんな情報を保有、利用していて業務でどのように活用していてどんなリスクがあるかを明確にして、明確になったリスクを軽減する対策を明確にし文章にして業務の取り込むまでの対応が必要になる。

これらの対応は情報部門だけでは到底できない、実業務は各々の営業拠点や生産拠点、開発部門で日常業務であつかっている情報が対象となる。情報とついたとたん情報部門が主体で進めるように認識されがちであるがそうではない。情報セキュリティポリシーは経営方針と同様でトップダウンで推進していくものである。実は私の会社も例外でなくまずは情報部門が問題提起をして策定をすることになっている。私的には総務部門が旗振り役になってもらおうと考えている。その為にISO文書や規定類を監査する委員会が総務部門主催で開催されているが、そこに情報セキュリティポリシー対策委員会を併設しようと考えている。

| | コメント (0) | トラックバック (0)

« 2006年6月 | トップページ | 2008年2月 »