システム開発における情報セキュリティ13
この記事は、システム開発における情報セキュリティ12の続きです。前回は、セキュリティに関するルール作りについて解説しました。今回は、セキュリティポリシーについて解説します。
セキュリティポリシーとは、企業レベルで情報資産の扱いについての理念を定義し、セキュリティの目標と目的を定め、情報資産を守るための手順や手段を宣言したものです。ちょっと分かり難いと思いますので解説します。
情報セキュリティは日進月歩だと言われております。つまり、恐ろしく変化が速く、明日安全だと言われたものが、今日危ないと言われても不思議ではないという事です。小手先のセキュリティでは直ぐに対応できなくなります。従って、セキュリティ手順と言った目の前のレベルではなく、思想レベルでセキュリティを考え、変化に対して柔軟に対応しつつ実施しなくてはなりません。
クラッカーどの様な弱点でも利用するので、企業がセキュリティを実施するには、全ての人々にセキュリティ意識を持ってもらう必要があります。そのために、情報資産の大切さや行動基準を定義し、それに基づきセキュリティ対策を実施し続けなくてはならないのです。
セキュリティポリシーは、ユーザー企業だけが考えればよいというものではなく、システムを知り尽くしたシステム開発側の人間も参加して作らねばなりません。何故ならば、ビジネスに関してはユーザー企業の方が詳しく、情報技術と情報システムについて詳しいのは開発側の人間だからです。
今までシステム開発側には「売ればいい」という風潮がありましたが、企業責任が問われる昨今では、その様な考えは通用しません。自社が売る商品について、より積極的にサポートしなくてはなりません。
クラッカーは人の思考と、広い意味でのシステムにある小さな隙間を狙ってくるので、ユーザーとベンダが密接に協力し合い、隙間をなくす努力を続ける必要があるのです。
セキュリティポリシーとは、企業レベルで情報資産の扱いについての理念を定義し、セキュリティの目標と目的を定め、情報資産を守るための手順や手段を宣言したものです。ちょっと分かり難いと思いますので解説します。
情報セキュリティは日進月歩だと言われております。つまり、恐ろしく変化が速く、明日安全だと言われたものが、今日危ないと言われても不思議ではないという事です。小手先のセキュリティでは直ぐに対応できなくなります。従って、セキュリティ手順と言った目の前のレベルではなく、思想レベルでセキュリティを考え、変化に対して柔軟に対応しつつ実施しなくてはなりません。
クラッカーどの様な弱点でも利用するので、企業がセキュリティを実施するには、全ての人々にセキュリティ意識を持ってもらう必要があります。そのために、情報資産の大切さや行動基準を定義し、それに基づきセキュリティ対策を実施し続けなくてはならないのです。
セキュリティポリシーは、ユーザー企業だけが考えればよいというものではなく、システムを知り尽くしたシステム開発側の人間も参加して作らねばなりません。何故ならば、ビジネスに関してはユーザー企業の方が詳しく、情報技術と情報システムについて詳しいのは開発側の人間だからです。
今までシステム開発側には「売ればいい」という風潮がありましたが、企業責任が問われる昨今では、その様な考えは通用しません。自社が売る商品について、より積極的にサポートしなくてはなりません。
クラッカーは人の思考と、広い意味でのシステムにある小さな隙間を狙ってくるので、ユーザーとベンダが密接に協力し合い、隙間をなくす努力を続ける必要があるのです。
スポンサーサイト
