情報セキュリティ対策は情シスではなく、経営企画や総務が取り組むべき理由 - セキュリティ心理学入門 内田勝也
コメント
注目のコメント
ビジネスリスクマネジメントの観点からですと、経営企画等の部署が取り組むべきというのは一理あります。
情報システム部署は、企業が使用する情報システムの整備と維持管理が基本的な職務なので、サイバーセキュリティインシデントがもたらす経営上のリスク管理の責任は経営サイドが負うべきですし、それに相応しい人材を準備することも必要でしょう。経営企画が方針と予算を示し、情シスが整備するという関係が構築されることが望ましいです。
情報セキュリティはCIOの仕事という認識が一般的ですが、私はそれだけだと不十分と考えます。入手した情報資産をリスク管理や収益力向上にどう活かすか、そのための経営陣の意思決定をどうサポートするかという、「インテリジェンス」の機能も持たせるべきです。インテリジェンスと セキュリティは表裏一体の関係にあるので、情報資産を「守る」セキュリティと、情報資産で「攻める」インテリジェンスの両方をカバーする「CISO」こそ、不確実な時代の企業経営に求められるものだと思います。