幸松です。

多くの場所で色々な方とお話をさせて頂くのですが、結構な割合で「セキュリティはどこまですれば良いの?」という質問を頂きます。

いつも私の解答は「コンプライアンス(顧客要求事項を含む)を守ってください。それ以上は会社で判断して下さい」となります。

プライバシーマークやISO27001/ISMS等の認証を取得する場合は、規格が求めている事項をクリアしなければならないという事がありますが、情報セキュリティそのものに関しては、それぞれの企業ごとにリスクを洗い出し、それぞれのリスク毎に「どう対応するか?」を決めていきます。

セキュリティは利便性とトレードオフになることも多々あります。そうような場合には、どのような措置を取るかは企業ごと、または同じ企業でも時期(置かれた環境等による)によって異なってくる場合があります。

「情報セキュリティに取り組むんだら、企業の経営方針を含めた方向性を再確認出来た」と仰る経営者の方もおられます。

10社あれば、情報セキュリティの基準や対策も10パターンあります。
自社にあった情報セキュリティ対策は、コンサルタントなどの外部のリソースのみでは実現できません。
必ず経営者や従業員の方がチームに参画してもらう必要があります。

セキュリティの基準は会社ごとで

幸松です。

多くの場所で色々な方とお話をさせて頂くのですが、結構な割合で「セキュリティはどこまですれば良いの?」という質問を頂きます。

いつも私の解答は「コンプライアンス(顧客要求事項を含む)を守ってください。それ以上は会社で判断して下さい」となります。

プライバシーマークやISO27001/ISMS等の認証を取得する場合は、規格が求めている事項をクリアしなければならないという事がありますが、情報セキュリティそのものに関しては、それぞれの企業ごとにリスクを洗い出し、それぞれのリスク毎に「どう対応するか?」を決めていきます。

セキュリティは利便性とトレードオフになることも多々あります。そうような場合には、どのような措置を取るかは企業ごと、または同じ企業でも時期(置かれた環境等による)によって異なってくる場合があります。

「情報セキュリティに取り組むんだら、企業の経営方針を含めた方向性を再確認出来た」と仰る経営者の方もおられます。

10社あれば、情報セキュリティの基準や対策も10パターンあります。
自社にあった情報セキュリティ対策は、コンサルタントなどの外部のリソースのみでは実現できません。
必ず経営者や従業員の方がチームに参画してもらう必要があります。

Author: 幸松 哲也
  • はてなブックマークに追加
  • ツイートする
  • facebookでシェアする
  • LINEでシェアする