一人情シスが「全部やらない」ためのIT判断フレームワーク:生存と説明責任を両立する羅針盤
これまで本サイトでは、SaaSの断捨離、セキュリティポリシーの引き算、資産管理の粒度、BI導入の拒否など、個別のトピックについて**「いかにしてやらないか」**を語ってきました。
読む →
ガバナンス
「守らせる」ことを諦める:一人情シスのための「意識合わせ」としてのセキュリティポリシー設計論
「セキュリティポリシーを策定しました。これからはこの規定に従って業務を行ってください」
全社会議でそう高らかに宣言し、分厚いPDFを配布する。 多くの情シス担当者が、これを「仕事の完了」だと錯覚します。しかし、一人情シスという過酷な環境にお …
読む →
規程を「作らない」勇気:形骸化した社内ルールが一人情シスの首を絞める理由
「IPO準備のために、IT関連の規程を整備してください」 「Pマーク取得のために、情報セキュリティポリシーが必要です」
会社の成長に伴い、このオーダーは必ず降ってきます。 そこで多くの情シス担当者は、インターネットで「情報セキュリティ規程 …
読む →
ポリシー未整備でも監査は通せる:「やらない」ことを説明するための防御論理
社員数100名、情シスは実質1名。 そんな中で親会社(本国)や監査法人から「IT監査」の通達が来ると、多くの担当者は目の前が真っ暗になります。
「パスワードポリシー規定を見せてください」 「ログの定期レビュー記録は?」 「特権IDの貸出申請 …
読む →
業務アプリ統制の「損切り」ライン:一人情シスが守るべきは全アプリではなく「急所」のみ
「社内で使われているSaaSを全て把握し、管理下においてください」
セキュリティコンサルタントや監査法人の先生は、涼しい顔でそう言います。 CASB(Cloud Access Security Broker)やSSPM(SaaS …
読む →