TOPマネジメント > 企業にとって重要なITポリシー7選(後)

マネジメント

企業にとって重要なITポリシー7選(後)

2021/04/08

Bob Violino CSO

 この1年で、世界は想像を絶するほどの変化を遂げた。サイバーセキュリティの観点でも、変化は非常に大きい。特に、リモートワークを続けている人の多さや、在宅と出勤を組み合わせたハイブリッドワークの増加が挙げられる。加えて、企業はクラウドサービスの利用を増やし、eコマースにも以前より力を入れている。こうした変化の中でセキュリティを確保していくためには、企業のITポリシーにも見直しが必要だ。サイバーセキュリティの専門家らの話をもとに、ITポリシーとして定めておくべき重要な7項目を見ていくことにしよう。

前回から続く)

ディザスタリカバリ/事業継続計画

Credit: Thinkstock
Credit: Thinkstock

 ディザスタリカバリ/事業継続計画は、企業に必要な計画の中でも特に重要だとLiggett氏は強調する。インシデントレスポンス計画と同様に、生きた文書として、少なくとも年1回は見直しと修正が欠かせない。「この計画の中で、復旧のための定型的な道筋を定める必要がある」

 危機発生時に生じるさまざまな事象、義務、説明責任の取り扱いについて定めるという点でも、こうした計画は重要だとLiggett氏は言う。「緊急事態が発生した後で事業が立ち行かなくなる大きな理由の1つは、リカバリ計画や事業継続計画の不備にある」

サードパーティーセキュリティポリシー

 サードパーティーセキュリティポリシーとは、外部委託先などのサードパーティーの情報セキュリティに関するデューディリジェンスの方法について要件を定めたものだ。「サードパーティーのリスクに関するポリシーと手順は、重要性がますます高まっている。組織外でのコラボレーションのレベルが上がるのに伴って、システムへのリスクも増す」。市場調査会社の米IDCでセキュリティ戦略担当バイスプレジデントを務めるPete Lindstrom氏はそのように話す。

 GartnerのPirzada氏は、このポリシーの目的について、「企業の情報、システム、サービス、ステークホルダーが、その企業のリスク選好の範囲内で守られるよう保証することにある」と説明する。「現在では、サードパーティーのサプライヤーやサービスの利用が一般的になった。それだけに、こうしたポリシーは重要だ」

↑ページ先頭へ