従業員コミュニケーションとISMS運用のコツ

Transcript

1. 従業員コミュニケーションと ISMS運⽤のコツ MIE KOBAYASHI SEP. 7, 2023

2. Mie Kobayashi @mie_s2525 みこよし@情報セキュリティのお姉さん 情シス歴：3年 バックグラウンド：ネットワークエンジニア

3. 今⽇のお話 Ø事業会社でセキュリティ強化を頑張っている Ø⾊々なことを試しているが効果がわかりにくい Ø従業員がいまいち興味を持っていない Øインシデントが発⽣する

4. ⼤前提として 情報セキュリティに興味がある従業員は半数以下 ここにいる皆さんと同レベル、もしくは近い⽬線で情報セキュリティに関⼼がある従業員はごくわずか

5. どうすればいいのか？

6. セキュリティを考える時の3本柱 ① ルール ② 企業⽂化 ③ 機能制限

7. ルール ØISMSのルール Ø情報セキュリティ規定 Ø従業員が仕事を⾏う上でのルールブック

8. ポイント Ø実現可能なレベル × 事業の⽔準レベル Ø理想のルールはNG

9. ⽂化 企業と従業員の間で共有されている価値観や⾏動様式・⽣活習慣

10. ポイント Ø⼈事に任せない Ø定期的なセキュリティ教育 Ø積極的な発信

11. 機能制限 ⼈は不正を犯す できない・やれない環境 物理・機能制限でコントロール

12. ポイント Ø⼈に判断させない Øルールとセット Ø例外を作らない

13. そんなこと全部やってるよ

14. 会社が死ぬもの考える なんでもかんでもセキュリティを⾼めない Ø漏れたら会社が死ぬ情報 Ø最優先で守らないといけないもの 経営陣と⽬線合わせる

15. メリットで考える Ø会社にとってのメリット Ø事業にとってのメリット Ø部⾨にとってのメリット

16. その⼈の⽴場とリスクで考える Ø営業部にとってのリスク Ø開発部にとってのリスク Ø管理部にとってのリスク

17. どこかで聞いたことありますね？ リスクアセスメント

18. 各部⾨と⽬線を合わせる Ø業務プロセスにおけるリスク Ø発⽣したら困る事態 👉 ⼀緒に考える

19. 事務局はガイド役 台帳の管理、代わりにやってませんか？ 審査の準備、全てやっていませんか？ インタビューの回答、全てやっていませんか？ 👉 活動すべきは各部⾨の従業員

20. 諦めも肝⼼ Ø事業の優先度 Ø経営課題の優先度 👉 やらないという判断（リスク受容）

21. 明⽇からはじめよう Ø常に社内へ発信 Ø 起きたインシデント、最悪の事態、セキュリティのトレンド、同業他社の事例… Øちょっとした⽤件でも、テキストで終わらせない Ø⾃らコミュニケーションを取る姿勢を⼤事に

22. 積極的なコミュニケーションがISMSを制す