…デジタル技術とグローバルな相互接続により、新たなリスクが多数生じ、既存のリスクも大幅に増幅されました。現在では、情報リスクが現実化した著名で重大な事例が数多く存在し、その影響は拡大し続けています。組織は情報リスクの管理を必ず改善しなければなりません。
しかし、それは容易ではありません。デジタル情報が爆発的に増加するなか、組織がすべての情報と関連するシステムを同一水準で保護することは不可能です。さらに、脅威は一枚岩ではなく、その起源、意図、強度、その他多くの要因において極めて多様です。
このテーマについては多くの論考があるものの、情報リスクをビジネス重視の観点で提示する、エンドツーエンドのアプローチを提供する方法論はほとんどありません。
セキュリティ計画は戦略文書ではありません。簡潔で使いやすく、職員が日々の業務で活用できる形式で情報を提供する必要があります。そうでなければ、文書は最後まで読まれず、活用もされません。運用可能なものにするため、セキュリティ計画は20ページを超えないことが望ましく、それ以上になると職員は読まず、覚えず、活用もしなくなります。
セキュリティ計画には多くのバリエーションがあります。しかし、多くは共通の体裁に従い、組織、関与の種類、職員数と資産規模、プロジェクトの所在地、運用環境、その他の地域要因に応じて、類似した種類の情報を含みます。
セキュリティ計画は、上級管理職、管理部門、プログラム管理、現場スタッフ、ドライバーに加え、国籍・民族・性別の異なるメンバーを交えた職員の混成チームによって作成するのが最適です。各人が異なる視点を提供します。
リスクマネジメントは、企業や公的機関だけの問題ではなく、短期的・長期的を問わずあらゆる活動に当てはまります。リスクマネジメントのメリットと機会は、活動そのものの文脈だけでなく、影響を受ける可能性のある多種多様なステークホルダーとの関係性も考慮する必要があります。リスクマネジメントは、組織内のどの階層で働くかに関わらず、全員の責任です。リスクマネジメントは動的かつ包括的なものであり、各組織の個々の状況に合わせて調整されるべきです。組織内のあらゆる部署がリスク管理を行うべきであるように、すべてのマネージャーは事実上、リスクマネージャーとなるのです。
0 件のコメント:
コメントを投稿