情報資産は、企業の存亡を決する重要な意味を持ちます。ビジネスの情報戦暗におけるMIS(経営情報システム)からSIS(戦略情報システム)への変遷は、経営の要である企業資産として、人、物、金に「情報」が新たに加えられたことを明確に物語っています。この企業情報の資産を的確に保護、管理することが、セキュリティ対策のポイントです。
情報セキュリティの3要素
情報セキュリティとは、システムの機密性、保全性、可用性を確保・維持していくこと、つまり企業の情報資産を脅威から保護し、正常な機能や状態に保つことです(この3つを情報セキュリティの3 要素と呼びます)。この情報セキュリティは、建物や設備などの物理的な対応である物理的セキュリティと、システム的・管理的・人的な村応である論理的セキュリティの2つに大別されます。
セキュリティポリシーとは
セキュリティポリシーとは、企業(組織)が情報資産に対してどのように取り組み、従業員がどのように行動すべきかという「方針」を明文化した「規範」をいいます。外資系企業では、インフォメーション・プロテクション・ポリシー(情報保護指針)と呼んでいます。
セキュリティポリシーは、マネージメント層の意思を示し、遵守すべき事項とその優先順位、村象部署を明確にした最低限の情報保護レベルを明確にし、既存ルールの不備を補完します。また、セキュリティを確保するために適切なコントロール手段を提供し、セキュリティ製品を選択する際の指標になります。つまり、個人の裁量で勝手に情報セキュリティについて判断されないように定めた「就業規則」あるいは「社則」のようなものです。
ここでのセキュリティとは、単なる「テクニカル」な問題に限りません。人的情報資源を含む、すべての情報資産に対する保全行為や安全運用を意味します。「ファイアウォールなどのセキュリティ製品を導入すれば安心」という考え方には、大きな間違いがあります。
製品技術だけでは、セキュリティは成立しません。セキュリティ製品を正しく使用するための知識や論理的な制御、システム全体を見渡した包括的な検討が必要です。別のいい方をすれば、セキュリティにはいくつかの階層があり、ハードウェアやソフトウェアというテクニカルな階層、その上に技術の運用・管理に関する階層があり、さらに行動規範のような人的階層があるのです。したがってセキュリティポリシーには、企業の目的や後述する倫理規範や個人の責任までが含まれます。
コメント