セキュリティの重要性を経営層に説明
問 題 《情報セキュリティアドミニストレータ午後対策》
@IT
第4回 経営層にセキュリティの重要性を納得させる
http://www.atmarkit.co.jp/fsecurity/rensai/info04/info01.html
を読んで下記問いに答えよ。
第4回 経営層にセキュリティの重要性を納得させる
http://www.atmarkit.co.jp/fsecurity/rensai/info04/info01.html
を読んで下記問いに答えよ。
(1)セキュリティ関連業務においては、上司や経営層にセキュリティ
の重要性を理解させるのが重要であるがなぜか?
(2)セキュリティ担当者は次のようなバランスを保ちながら業務を進
めていくことを理解しておくべきである。
(1)サービスの提供 VS セキュリティ
(2)操作性 VS セキュリティ
(3)【 a 】
【 a 】を埋めよ。
(3)感想・調べたこと
情報セキュリティアドミニストレータ午後対策の解説を何度も読みましょう。
解 説 《情報セキュリティアドミニストレータ午後対策》
(1)セキュリティ関連業務においては、上司や経営層にセキュリティ
の重要性を理解させるのが重要であるがなぜか?
>セキュリティ対策はトップダウンで進めていかなければならない為。
>※全社員にセキュリティの重要性を理解させ、守らせる為。
>※全社員にセキュリティの重要性を理解させ、守らせる為。
> セキュリティ担当者が自社のセキュリティ対策を向上させ、推進しようとす
>る場合には、どうしても人、物、金といった資源(資産)が必要となる。
>こういった人、物、金というような企業の資源(資産)を直接動かす決定を下
>すようなことができるのは、上司や経営層である。
> 上司や経営層にセキュリティの重要性を十分に理解させることができなけれ
>ば、上司や経営層のトップダウンによる全社を挙げてのセキュリティ対策の
>推進も不十分なものになりがちで、社員に対するセキュリティ教育啓蒙活動も
>行うことができず、また、セキュリティ対策はそれ自体が利益を生み出すもの
>ではないため、社員はセキュリティ意識が低いままで日常業務を行うこととな
>り、企業のセキュリティ対策は崩壊することにつながる。
> ゆえに上司や経営層にセキュリティの重要性を理解させ、上司や経営層の
>トップダウンによるお墨付きをもらって、セキュリティ対策の権威付けをする
>ことが必要である。
>る場合には、どうしても人、物、金といった資源(資産)が必要となる。
>こういった人、物、金というような企業の資源(資産)を直接動かす決定を下
>すようなことができるのは、上司や経営層である。
> 上司や経営層にセキュリティの重要性を十分に理解させることができなけれ
>ば、上司や経営層のトップダウンによる全社を挙げてのセキュリティ対策の
>推進も不十分なものになりがちで、社員に対するセキュリティ教育啓蒙活動も
>行うことができず、また、セキュリティ対策はそれ自体が利益を生み出すもの
>ではないため、社員はセキュリティ意識が低いままで日常業務を行うこととな
>り、企業のセキュリティ対策は崩壊することにつながる。
> ゆえに上司や経営層にセキュリティの重要性を理解させ、上司や経営層の
>トップダウンによるお墨付きをもらって、セキュリティ対策の権威付けをする
>ことが必要である。
http://www.atmarkit.co.jp/fsecurity/rensai/info04/info01.html
このホームページでは組織がセキュリティポリシの策定、PDCAの出
発点で重要な事項が書かれていてとても参考になります。
経営層に「予算さえあればセキュリティが確保できる」という誤った考えを
持たれないようにしなければなりません。
セキュリティポリシを策定し、トップダウンでセキュリティ対策に
臨まなければならない理由は、下記のとおりです。
・セキュリティポリシは全社的に影響力をもつものであり、組織横断的なプロジェクトチームを
作成して運用していく必要があるため。
・セキュリティ対策は運用、維持費が必要で、年間予算を見ておかなければならないため。
(2)セキュリティ担当者は次のようなバランスを保ちながら業務を進
めていくことを理解しておくべきである。
(1)サービスの提供 VS セキュリティ
(2)操作性 VS セキュリティ
(3)【 a 】
【 a 】を埋めよ。
>セキュリティのコスト VS 損失のリスク
この3項目をバランスよく保ちながら業務を進めていくことは非常に重要です。
セキュリティのコストは、損失した場合のリスクに対する費用であるため、
さまざまなリスクを想定し、それに見合ったセキュリティ対策を施さなければなりません。
セキュリティのコストは、損失した場合のリスクに対する費用であるため、
さまざまなリスクを想定し、それに見合ったセキュリティ対策を施さなければなりません。
(3)感想・調べたこと
セキュリティは費用対効果が明確になりにくいといわれます。
費用対効果を裏付ける材料として、リスク分析及び結果は重要な作業(資料)となります。
可能な限り定量的に分析することにより、予算に対してセキュリティ対策の運用が
し易くなります。
費用対効果を裏付ける材料として、リスク分析及び結果は重要な作業(資料)となります。
可能な限り定量的に分析することにより、予算に対してセキュリティ対策の運用が
し易くなります。
このページ
のTOPへ
