せっかく作成した「情報セキュリティ規程」。情報システム部員やシステム子会社のメンバーにも内容を周知し、理解してもらっているでしょうか。ある会社を監査した時のことですが、ユーザ部門にて導入したシステムのパスワードポリシー設定が規程を満たさなかったため指摘しました。ユーザ部門担当者によると、「情報システム部門担当者にアドバイスをもらって導入した」とのことで、そのシステム部門担当者が情報セキュリティ規程を読んでいなかったのが規程違反の原因でした。USBメモリの使用が規程上禁止されているのに使用しているシステム担当者、ブラウザは会社が指定したものを使用するよう規定されているのに、ユーザ部門の前で指定外のブラウザを使用するシステム担当者を見たことがあります。そうしますと、ユーザ部門に規程を遵守するようにはなかなか言えないですね。続きをみる
Source: Note 起業ニュース
コメント