現場が抜け道を探さないポリシーの作り方 − @IT情報マネジメント(情報元のブックマーク数)
ドキュメントをどこに置くか、どういうポリシーで運用するかってのはとても重要で、とても難しい問題。
漏洩してから気付くのは、意識が希薄だった・・・みんなすでに思ってることをあとで思うんですよ・・・・
現在の「ドキュメント活用状況」では、「サーバなどにドキュメントを置いて情報共有」が91.2%で、2番目に多い「ドキュメントを電子メールに添付し、送受信」(69.4%)とともに、企業内で広く実施されていることが分かった。
現場が抜け道を探さないポリシーの作り方 (1/2) - ITmedia エンタープライズ
一方、ドキュメント流通するうえで懸念しているリスクは、「機器の紛失/盗難による情報漏えい」が最も多く63.0%、「操作ミスによる情報漏えい」が53.3%、「Doc共有/再利用できる環境の構築」が50.0%と続き、“利用者が意図しないで漏えいする事態”を懸念しているケースが多かった。
リスクへの具体的な対策では、「IDとパスワードによる個人認証」が最も多く76.7%。「情報セキュリティポリシーの策定」は68.5%だった。この数値を逆にとらえると、3割強の企業がまだセキュリティポリシーを策定していないことが分かる。他方で、「シンクライアント/ディスクレスPCの導入」が9.1%あり、着実にシンクライアントも普及し始めてきているようだ。
これらの情報漏えい対策を行ううえでの課題は、「セキュリティによる業務効率の低下」が最も多く53.0%、「従業員のセキュリティ意識が希薄」の37.0%、「セキュリティ投資対効果が不明瞭」の34.2%と続いた。この結果から、情報漏えい対策の課題として「業務効率の低下」がトップ課題になっていることが分かった。
ポリシーと具体化したガイドライン。企業に必要な、ルールと手順。
ガイドラインは、セキュリティポリシーをより具体的にしたもので、実際の業務のシチュエーションに合わせてどのような対策があるかを示す。
現場が抜け道を探さないポリシーの作り方 (2/2) - ITmedia エンタープライズ
例えば、「PC利用ガイドライン」や「サーバ管理ガイドライン」「外部発注契約ガイドライン」といったものが考えられる。部署によって特殊な業務がある場合には、その部署専門のガイドラインや手順書もあり得る。
もっとも弱かった点もそうだが、全体的に抜けがないか?という点も必要かな。
重要なのは、まずリスク分析でリスクを洗い出して分析した後、“最も弱かった部分”を補完していくことだ。
現場が抜け道を探さないポリシーの作り方 (2/2) - ITmedia エンタープライズ
なぜなら、セキュリティの場合、最も弱い部分のセキュリティレベルがその企業全体のセキュリティレベルになるからだ。99%の部分が最高のセキュリティレベルであったとしても、残り1%の部分が最低レベルであったら、その企業のセキュリティレベルは最低レベルになる。つまり、強い部分をさらに伸ばすよりも、弱い部分を底上げすることが重要だ。
