守りの情報セキュリティ vs 攻めの事業部 コンフリクトを軽減する情報セキュリティ浸透に向けたコミュニケーション支援
概要 / Overview
- 企業規模:
- 大規模企業
- 人数規模:
- 5,000名以上
現場(=部分最適)VS 経営カバナンス(=全体最適)のコンフリクト
情報セキュリティ・サイバーセキュリティの脅威が日に日に増す中で、業界内でセキュリティ対策が遅れていた同社では、セキュリティポリシーの再設計や、セキュリティガイドラインの作成と浸透活動を始めました。
組織は事業部制で、事業部ごとにビジネスモデルや商習慣が異なり、情報に対する感度やITリテラシーもバラバラで、経営ガバナンスをコントロールしづらい状況にありました。
加えて、情報セキュリティの管掌部門である情報システム部門は社内的な影響力が低く、多くの社員は「情報セキュリティは情報システム部門の仕事」という認識で、情報セキュリティの問題が自分ゴトとはなっていない状況でした。
社員を巻き込むコミュニケーションで情報セキュリティの問題を自分ゴトに
情報システム部門では、セキュリティコンサルを導入し、情報資産の棚卸からリスクアセスメントなど基本的な対策は行ったものの、事業部門の巻き込み・社員への腹落ちという肝心の部分は手つかずのままでした。
解決策として、同社が取引していたセキュリティコンサルと一緒に、セキュリティ実践度とセキュリティに対する納得度を可視化するアンケートを設計・実施しました。
事業部門ごとにワークショップを実施してアンケート結果をフィードバックし、第3者として事業部門の情報セキュリティのリスクを指摘するだけでなく、ワークショップの参加者に自分の事業部門のリスクを洗い出してもらいました。
さらに、ワークショップで出た各事業部の課題や解決策をイントラネット上で共有し、最終的に情報セキュリティガイドラインにも反映しました。
成果物 / Output
- セキュリティ意識調査アンケート実施
- 部門横断型のセキュリティチームの会議運営支援
- 部門単位のセキュリティ状況のデータフィードバック
- 部門単位のセキュリティ改善に向けた課題解決ワークショップ
- 全社のセキュリティ浸透に向けた制作物
提供価値 / Value Proposition
- 経営と現場のコミュニケーションシナリオ作成
- 社員の感情の可視化を踏まえた、社員巻き込みシナリオ作成
