https://cyber-sec-plus.connpass.com/event/292247/ 登壇資料
従業員コミュニケーションとISMS運⽤のコツMIE KOBAYASHISEP. 7, 2023
View Slide
Mie Kobayashi@mie_s2525みこよし@情報セキュリティのお姉さん情シス歴:3年バックグラウンド:ネットワークエンジニア
今⽇のお話Ø事業会社でセキュリティ強化を頑張っているØ⾊々なことを試しているが効果がわかりにくいØ従業員がいまいち興味を持っていないØインシデントが発⽣する
⼤前提として情報セキュリティに興味がある従業員は半数以下ここにいる皆さんと同レベル、もしくは近い⽬線で情報セキュリティに関⼼がある従業員はごくわずか
どうすればいいのか?
セキュリティを考える時の3本柱① ルール② 企業⽂化③ 機能制限
ルールØISMSのルールØ情報セキュリティ規定Ø従業員が仕事を⾏う上でのルールブック
ポイントØ実現可能なレベル × 事業の⽔準レベルØ理想のルールはNG
⽂化企業と従業員の間で共有されている価値観や⾏動様式・⽣活習慣
ポイントØ⼈事に任せないØ定期的なセキュリティ教育Ø積極的な発信
機能制限⼈は不正を犯す できない・やれない環境物理・機能制限でコントロール
ポイントØ⼈に判断させないØルールとセットØ例外を作らない
そんなこと全部やってるよ
会社が死ぬもの考えるなんでもかんでもセキュリティを⾼めないØ漏れたら会社が死ぬ情報Ø最優先で守らないといけないもの経営陣と⽬線合わせる
メリットで考えるØ会社にとってのメリットØ事業にとってのメリットØ部⾨にとってのメリット
その⼈の⽴場とリスクで考えるØ営業部にとってのリスクØ開発部にとってのリスクØ管理部にとってのリスク
どこかで聞いたことありますね?リスクアセスメント
各部⾨と⽬線を合わせるØ業務プロセスにおけるリスクØ発⽣したら困る事態👉 ⼀緒に考える
事務局はガイド役台帳の管理、代わりにやってませんか?審査の準備、全てやっていませんか?インタビューの回答、全てやっていませんか?👉 活動すべきは各部⾨の従業員
諦めも肝⼼Ø事業の優先度Ø経営課題の優先度👉 やらないという判断(リスク受容)
明⽇からはじめようØ常に社内へ発信Ø 起きたインシデント、最悪の事態、セキュリティのトレンド、同業他社の事例…Øちょっとした⽤件でも、テキストで終わらせないØ⾃らコミュニケーションを取る姿勢を⼤事に
積極的なコミュニケーションがISMSを制す