組織の状況にて、組織が抱えているセキュリティの、外部及び内部の課題を決定する必要があります。
(Pマーク用のマニュアルはこちらをご覧ください)
「外部の課題」の具体例
組織の外部に原因が存在する課題です。法改正・景気・環境の変化などがあります。いくつか例を上げてみます。
タイトル | 詳細 |
---|---|
顧客からのセキュリティ要望 | ISMS認証の取得要請や、セキュリティアンケートへの回答の機会が増えている |
XX法への遵守 | 当社の業務の都合上、XX法への遵守が求められている |
景気の悪化によるセキュリティ予算の削減 | セキュリティに予算を割くことができず、より効率的なセキュリティ対策が求められている |
外部サービスへの依存 | 多くの情報が、社外のクラウドサービスに保存されているので、そのサービスで情報漏えいや停止が起こると、当社の情報にも影響する |
外部委託先への依存 | 多くの委託先に依存して業務が成り立っているので、その委託先にて情報漏えいが起こると、当社の情報にも影響する |
「内部の課題」の具体例
組織の内部に原因が存在する課題です。組織体制・組織の文化・取り扱う情報などがあります。いくつか例を上げてみます。
タイトル | 詳細 |
---|---|
情報セキュリティ担当者の不在 | 明確な情報セキュリティ担当者が決まっていないため、社内で統制が取れていない |
自社特有の取扱情報 | 他社ではあまり取り扱わない、XXXという情報を取り扱う業務をしているため、一層のセキュリティ強化が必要 |
中途社員が多い | 中途入社の社員が多いため、セキュリティへの取り組みの意識がバラバラになっている |
組織文化とセキュリティの整合 | 当社は「スピード」を価値として業務を行っているため、情報セキュリティのような守りの取り組みが、疎かになりがちである |
ヒント:課題を、漏れなく全て洗い出すことは難しいです。そのため、外部・内部それぞれ、1〜3つ程度、主だった課題を上げておけば十分でしょう。