このブログでも何度も意見を述べてきましたが、組織内で情報セキュリティについてにルールを定める際に、どこまで厳しくすればいいかということが常に問題になります。
やさしすぎても厳しすぎても効果がありません。特に、厳しすぎるルールの方が始末が悪い場合が多いです。ルールがあるのに、それを公然と守らないということが常態になってしまうと、何もルールがないよりもかえって悪い状態になってしまいます。
大きな組織になればなるほど、どこまでやればいいかなやむことが多くなるはずです。小さな組織なら、一人一人の顔が見えますから、ルールのおとしどころの想像がつくのですが、大きな組織だとどうしても事務的になりがちです。
こういう場合の原則は、決して無理をしないことです。ちょっとやさしすぎるくらいのルールでも、それが今自分たちが守れる最高レベルだという自覚があればそれでいいのです。
体裁を気にして、無理に厳格なルールを作っても運用でぼろが出るだけで、百害あって一利なしです。
ISO27001(ISMS)はトップダウンで行うものですが、実際のセキュリティポリシーに関しては笛吹けど踊らずということにならないよう、現実の現場をよくよく見てから行動に移るべきです。
← おもしろかった、役に立ったという方はクリックして応援よろしくお願いします!
やさしすぎても厳しすぎても効果がありません。特に、厳しすぎるルールの方が始末が悪い場合が多いです。ルールがあるのに、それを公然と守らないということが常態になってしまうと、何もルールがないよりもかえって悪い状態になってしまいます。
大きな組織になればなるほど、どこまでやればいいかなやむことが多くなるはずです。小さな組織なら、一人一人の顔が見えますから、ルールのおとしどころの想像がつくのですが、大きな組織だとどうしても事務的になりがちです。
こういう場合の原則は、決して無理をしないことです。ちょっとやさしすぎるくらいのルールでも、それが今自分たちが守れる最高レベルだという自覚があればそれでいいのです。
体裁を気にして、無理に厳格なルールを作っても運用でぼろが出るだけで、百害あって一利なしです。
ISO27001(ISMS)はトップダウンで行うものですが、実際のセキュリティポリシーに関しては笛吹けど踊らずということにならないよう、現実の現場をよくよく見てから行動に移るべきです。
← おもしろかった、役に立ったという方はクリックして応援よろしくお願いします!