ISMSを取得したけど、有効に機能していない、または社内に浸透していないという悩みをISMSを取得されたお客様から聞くことがあります。
これはどういう状況かというと、ISMSを取得する際に、情報セキュリティ対策として決めたルールが守られていない、もしくは事務局だけが形式上記録だけ残している、計画が計画通りに実施できていないなど、様々ではあると思いますが、共通して言えることは、従業員全員が同じ目的意識を持って、情報セキュリティに対して取り組めていないという状況と言えます。
せっかくISMSを取得しても、ISMSという認証制度が、会社にとってマークとしてしか活かされていないという状況であり、情報セキュリティレベルが上がっているとは言えないですね。
では、ISMSが社内に浸透できるようにするためには、どのようにすれば良いのでしょうか?
例えば、以下のような対応が上げられます。
従業員の情報セキュリティに対する意識の向上
なぜ情報セキュリティに対してルールを守る必要があるのか、守らなければどういった状況になる可能性があるのかということについて、教育を実施し理解してもらうことが大切です。
情報セキュリティ対策は、従業員に対して押しつけ感があっては、決して浸透しません。必要であると理解してもらうことが大切です。
従業員が守れる情報セキュリティのルールを作成
情報セキュリティに対する管理ルールも、守れなければ意味がないので、従業員が守れるルールである必要があります。
それは、作成したルールを守ることによって業務に支障を来たすようでは、守ることが困難です。業務の流れ、業務に対する人員、リソースを把握した上で、実施できる合理的なルール作りをする必要があります。
経営陣の積極的な参加
情報セキュリティ対策は、将来予測される損失を未然に防ぐリスクマネジメントであり、経営戦略の一部であるという認識を持ち、積極的な参加が必要です。
そのためには、情報セキュリティ対策での経営陣の役割をしっかり理解し、実施することが大切です。
また、情報セキュリティ対策には、人的作業も多く発生するので、その作業コストを軽減できるような、それに代わるハード、ソフトウェアの導入も検討する必要もあります。
それには、金額面での投資になりますので、投資の確保も考慮する必要性があるでしょう。
細かいところではその他にもありますが、上記のような点を念頭に運用を見直すと変わってくるのではないでしょうか。