Q&A
ご回答ありがとうございます!
公になるのは限られた範囲なんですね。具体的な情報はあくまで伏せることが多いと。
警察のは
全日空857便ハイジャック事件のときに出動した特殊機動隊(後のSAT)は
その当時は非公式にされていた~って描かれてました。
テレビで知った知識なので、しっかり調べていなく恐縮ですが・・・
経済産業省のHPを見ていたらサイバーセキュリティ対策のガイドラインに
「ステークホルダー(顧客・株主)からの信頼性を高めるべく、情報セキュリティ対策の計画や実施状況を、適切に開示すること」が必要とありました。
ある意味、自社の対策状況を誰でも見られる場所で公開することは、手の内を晒しているようで、危険と表裏一体だなと感じました。
警察機能だと、警視庁の上層部しか知らないような秘密の組織みたいなのがあって
ほとんど存在が知られていないからこそ、悪い人には脅威であるという印象があったのですが
これを同じように情報資産を守る責任者にも当てはめるのは見当違いでしょうか?
回答3件
0
例えば、「当社のデータへのアクセスはセキュリティ担当者のみに限定しており、本人確認には生体認証を用いている」という情報を公開した場合、公開しない時よりも危険性が増すと考える具体的な理由としてかが得られるのはどのような事なのでしょう?
情報セキュリティ対策の計画や実施状況を、セキュリティ対策の具体的な情報(誰が担当していて、セキュリティチェックしている項目が何か、等々)と混同していませんか?
投稿2016/08/11 08:22
総合スコア6915
0
ベストアンサー
「適切に」というところがポイントですね。
株主に対しては、国際基準や国内基準のどのようなものに対応または計画しているかを開示するのみにとどまるというのが、一般的だと思います。広報ポイントとなる場合は、別途開示するケースもありますが、これもやはり「適切に」判断されます。
顧客からの開示要求に対しては、ケースバイケースになります。
顧客は、自社のコンプライアンスやセキュリティポリシーに則り、取引先に開示要求をするため、結構踏み込んだ内容の開示を求められるケースもあります。
場合によっては、非常に細かい具体的なことまで要求されるケースがあるため、その開示リスクと開示メリットを検討し、「適切に」回答します。
「適切に」回答するため、新たな契約を交わし、開示した内容の二次的な使用を禁じるケースもあります。
広く一般的に開示されるのは、国際基準や国内基準のどのようなものに対応しているか程度の情報になると思うので、それがリスクに繋がることはありません。
この辺りの「適切さ」のバランスを取るため、大手の企業ではそれに対応するための部門が設置されています。
ちなみにですが、これってなんですか?
警察機能だと、警視庁の上層部しか知らないような秘密の組織みたいなのがあって
ほとんど存在が知られていないからこそ、悪い人には脅威であるという印象
投稿2016/08/11 12:17
退会済みユーザー
総合スコア0
SAT のイメージだったのですね。理解しました。詳しくないので、イメージと合っているかは分かりませんが。
0
ここでいう情報セキュリティ対策計画や実施状況を開示するというのは、
あくまで計画(例:〜をしないために×××を導入します)、実施状況(例:〜の問題があり、×××をしている段階です)であって、それを満たすための情報セキュリティの実装状況を開示するのとは違いますよー。
計画、実施状況を開示することはHPの記載にあるように、
このように対策するとか実施状況はアナウンスることで、
内々で何やってるのか分かったものじゃないという利害関係者の不安を低減であったり、
大事な情報資産を守るための取組みを行ってますとアピールすることで、同時に信頼も得やすくなります。
以下参考までに。
情報セキュリティポリシー
またこの辺りの考え方は、
ISO27001、ISO27002の国際標準や、**ISMS(情報セキュリティマネジメントシステム)**が基となっていますので、興味がありましたら調べてみてはいかがでしょう。
投稿2016/08/11 09:29
総合スコア1636
ご回答ありがとうございます!
実装状況の開示ではないんですね!
ISO27001で調べたら、利害関係者がD,Aの主体として登場していました
やはり情報開示による信頼の獲得っていうメリットが大きいんですかね
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2016/08/12 01:42