守りの情報セキュリティvs攻めの事業部のコンフリクトを軽減する情報セキュリティ浸透に向けたコミュニケーション支援
概要 / Overview
- 企業規模:
- 大規模企業
- 人数規模:
- 5,000名以上
現場(部分最適)と経営カバナンス(全体最適)のコンフリクト
情報セキュリティ・サイバーセキュリティに脅威が日に日に増す中で、業界内でセキュリティ対策が遅れていた同社では、セキュリティポリシーの再設計や、セキュリティガイドラインの作成と浸透活動を始めました。組織は事業部制で、事業部ごとにビジネスモデルや商習慣が異なり、情報に対する感度やITリテラシーもバラバラで、経営ガバナンスをコントロールしづらい状況にありました。加えて、情報セキュリティの管掌部門である情報システム部門は社内的な影響力が低く、多くの社員は「情報セキュリティは情報システム部門の仕事」という認識で、情報セキュリティの問題が自分ゴトとはなっていない状況でした。
社員を巻き込むコミュニケーションで情報セキュリティの問題を自分ゴトに
情報システム部門では、セキュリティコンサルを導入し、情報資産の棚卸からリスクアセスメントなど基本的な対策は行ったものの、事業部門の巻き込み・社員への腹落ちという肝心の部分は手つかずのままでした。
そこでソフィアは、同社が取引していたセキュリティコンサルと一緒に、セキュリティ実践度とセキュリティ対する納得度を可視化するアンケートを設計し実施しました。事業部門ごとにワークショップを実施してアンケート結果をフィードバックし、第3者として事業部門の情報セキュリティのリスクを指摘するだけはなく、ワークショップの参加者に自分の事業部門のリスクを洗い出してもらいました。さらに、ワークショップで出てきた各事業部の課題や解決策を、イントラネット上で共有し、最終的には、情報セキュリティガイドラインにも反映していきました。
成果物 / Output
- セキュリティ意識調査アンケート実施
- 部門横断型のセキュリティチームの会議運営支援
- 部門単位のセキュリティ状況のデータフィードバック
- 部門単位のセキュリティ改善に向けた課題解決ワークショップ
- 全社のセキュリティ浸透に向けた制作物
提供価値 / Value Proposition
- 経営と現場のコミュニケーションシナリオ作成
- 社員の感情の可視化を踏まえた社員巻き込みシナリオ作成
