イプシロンブログトップつのわ〜るどシンプルBSC

2005年11月27日

あなたの組織はどんな情報を持っているのか?(1)

 QMS(品質マネジメントシステム)やEMS(環境マネジメントシステム)と同様に、ISMS(情報セキュリティマネジメントシステム)の成功にはまず強力なリーダーシップが不可欠です。ISMSでも、取り組まれようとされる組織の経営層には当然問題意識があり、それが活動の出発点・原動力になっているはずです。しかし、ここで難しいのが“問題意識”が具体的な“問題(点)”の特定にまで至るプロセスです。ありがちなパターンで、最初から『結局、何(具体的な情報管理措置)をしたらいいのか?』といったご相談をいただくことがあります。結論を急がれるお気持ちは分かりますが、最初から答えを出すことはできません。『何をしたらいいのか?』は組織によって違いますし、最終的に『何をするのか?』は組織が決めることです(勿論アドバイスは行いますが・・・)。
 順を追って、冷静に考えていただけるようなら、まずは『自分の組織にはどんな情報があるのか?』を見つめ直すことが重要ではないでしょうか?組織が取り扱う情報を的確に把握することは、組織の抱える情報管理上のリスクを把握する第一歩になります。結果的にはシュレッダーを購入したり、新しいソフトウェアを導入したりすることになるかも知れません。でもやはり『どんな情報があるのか?』さえ把握せず、リスクの分析・把握ができないままコトを進めてしまえば、本来のコスト投下すべきポイントを外した無駄使いをするかも知れませんし、無駄なのか無駄じゃないのかも永遠に分からないことも考えられます。それでは経営に役立つ<情報セキュリティ>とはいえません。

イプシロン
posted by イプシロン at 18:47 | 情報セキュリティ | 更新情報をチェックする