あなたは、経営陣を説得して情報セキュリティの導入に投資しようとしたことがありますか。 もしあるのなら、どうなるかはご存知でしょう。経営陣はコストがいくらかかるかを尋ね、高すぎれば拒否するでしょう。
実際、そのような経営陣は責められません。結局のところ、経営陣の最終的な責任は企業の収益性なのですから。 つまり、経営陣の意思決定は、すべて投資と利益の間のバランス、彼らの言葉で言えば、ROI(投資収益率)に基づいています。
つまり、そのような投資を提案する際には、準備が必要だということです。経営陣が理解・認識できる言葉を使って、利点をプレゼンする方法を慎重に考えねばなりません。
そのお手伝いをしましょう。情報セキュリティ、特にISO 27001の導入には、さまざまな利点があります。 けれども、私の経験では、最も重要なのは以下の4つです。
1. 順守
これを利点の第一に挙げるのは奇妙に映るかもしれませんが、これが最も早く「投資収益率」に反映されることが多いです。組織(特に金融・保健・政府機関)がデータ保護・プライバシー・IT統治に関するさまざまな規制に従う必要がある場合に、ISO 27001はそれを最も効率的な方法で行うことを可能にする方法論を提供します。
2. マーケティング・エッジ
競争が激化する市場において、顧客の視点で組織を差別化することは極めて困難です。 特にクライアントの機密情報を扱う組織の場合、ISO 27001は得がたいセールス・ポイントになる可能性があります。
3. 費用の節約
情報セキュリティは通常、はっきりした金銭的利益のないコストと見なされています。けれども、インシデントから生じる費用を節約できれば、金銭的利益が生まれます。インシデント時には、おそらくサービスの中断やデータ漏洩や従業員の不満が発生するでしょう。 あるいは元従業員すら不満を抱くかもしれません。
本当を言うと、そのようなインシデントを防ぐことによって節約できる金額を計算する方法や技術はまだ存在しません。 けれども、そのような事態に経営陣の意識を向ければ、肯定的な印象を与えることは確実です。
4. 仕事に秩序をもたらす
おそらくこれが最も過小評価されています。過去2、3年で急速に成長した企業では、誰が何を決断するか、誰が特定の情報資産に責任を持つか、誰が情報システムへのアクセスを認可するか、といった問題に直面することがあります。
ISO 27001は、特にこのような事態を解決することに適しています。ISO 27001は責任・義務を厳密に定義することを強制し、内部組織を強化します。
結論としては、ISO 27001は、単に認証を壁に飾る以外にも、多くの利益をもたらす可能性があるということです。ほとんどの場合、利益を明快に示すことができれば、経営陣は耳を傾けるはずです。
—
また、弊社のウェビナー ISO 27001 benefits: How to obtain management support もご利用ください。