- - PR -
セキュリティポリシー違反の社員への懲罰について
| 投稿者 | 投稿内容 | ||||
|---|---|---|---|---|---|
|
投稿日時: 2004-01-13 13:30
るぱんです。
え〜と、個人的には 「連座制」適用が良いかと。 あくまで個人的な意見です。 まずは被害状況から罰を決めるべきかと。 情報が漏洩した際、社内的な被害なら甘い判断で良いと思いますが、 顧客の直接被害に結びつく物であれば厳罰必須にしないと体面が無くなります。 その上で、 役職付き、無しに分類。 ・役職無しが違反した場合。 基本的に違反者は一回目に限り叱責、上司も連座制で叱責。 二回目はボーナスの20%カット。(本人上司共に) 三回目はボーナスの20%カットの上、給与一年間5%カット。(本人上司共に) ・役職付きが違反した場合。 降格。役職付きの更に上司及び役職推薦者もボーナスカット20%。 二回目は本人及びその上司及び役職推薦者もボーナス50%カット。 三回目はクビでいいんじゃないですかね? ちょいっと厳し目ですがこんなんでどうでしょう? わかりやすくて良いんじゃないですかね? まぁ、役職につくということは、それぐらい責任が重たい事なんだ・・・と 印象付ければ、役職希望者が減るし、役職手当減らせるしいいんじゃないですか? その分一般社員の方の給与に微々たる物かもしれないけれどインセンティブで取っておけば 宜しいのでは? んで、現実問題としては、「法務」の問題にもなると思うので、 総務の法務担当か、法務部の担当者とかに意見を聞くのが良いかと。 策定に当たっては、人事もからんでくるので、相談してからプロジェクトにして社内で 立ち上げてみるのではいかがでしょうか? 一番最初にする作業は、 1.どういう種類のデータを 2.どれぐらいの量 抱えてるかを調べ、 その後、 3.被害を想定し 4.それぞれに対してリスクを想定した運用方法を考える 事だと思います。 | ||||
|
投稿日時: 2004-01-13 14:40
ども、ほむらです。
---------------- 個人的には がるがる氏 のやり方が有効かなと思っています。 つまり、なんとなくでもいいから、認識させることと意識させることです。 教育によって認識はできるでしょうけど、 それを意識するところまではもっていくのは大変です。 現物がないとわかりませんし、 開発現場なんて所は基本的に全員が守秘義務を持っていることもあって 秘密事項もわりと気軽な気持ちで話しいますしね。 気軽なもの=たいしたことじゃない。なんて意識に繋がるのではないでしょうか? となれば、 これは重要なものであるという意識できるようになれば、 あとは、教育の賜物というやつですね。 本題、懲罰については連座制というのは考えものかなと。 いや、個人的なイメージなんですけどね。 連座制=トカゲの尻尾きり見たいなイメージがあるので、 僕としては ピンポイントで叱責。原因の報告。対策の報告。数ヵ月後実績の報告。 ついでに反省文の提出?と紙攻めの刑ですね(笑 怒る時に上司も怒るのならば、上司等関係者全員を集めて一同に怒るべきですかね。 自分やった行いがどれだけの人に迷惑をかけているのか 個々の責任を認識して欲しいです。 | ||||
|
投稿日時: 2004-01-13 14:59
ども。がるです。
極余談ですが(笑
紙攻めを「手書きのみ。プリントアウト不可」にする。 …自分なら、それを見た瞬間に青くなりそう(笑 キータイプに慣れている人ほど手書きって苦痛だと思うので、 手書きでの紙攻めって結構拷問かも :-P | ||||
|
投稿日時: 2004-01-13 16:24
適当な例ではないかもしれませんが、officeの鍵をなくしたときのペナルティと
比較して考えれば分かりやすいのではないかと思いました。 たとえば、鍵を紛失すると再発行料とか、一定期間鍵を預けられなくなるとか、 その他もろもろあるかと思います。 もっともネットワークの場合は、一定期間ネットワークを使用させないという わけにはいかないでしょうから、鍵紛失の再発行料に見合うような金銭的 ペナルティが適当ではないかという気がします。 「気軽に」というわけで、気軽に額を想像すると・・・給与の5−15%程度 でしょうか?あと、査定にマイナスポイントとして加算するとか。 (この割合は役職や重大性によって上下しますが) 【余談】 某法律事務所で、入所からそれほど日もたたないうちにOfficeの鍵を財布ごと スラれた弁護士がいて、そのために全員のセキュリティカード(30枚程度かな?) を全部交換したという一件がありました。どんなペナルティ食らったのかは 知りませんが(苦笑)。 | ||||
|
投稿日時: 2004-01-13 23:24
こんにちは。あにゃです。
誰々を懲罰する、なんて言うのは本当に管理職のイメージですよね。IPトレースを追ったり、webサーバーのログの解析をしたり、F/Wのポリシー設計をしたり、というようなシステム管理の一連のアクションとは一見無関係のように見えます。 でも、 ・これこれ(ツール)を使い、 ・これこれ(セキュリティ違反)を行ったら、 ・これこれ(懲罰)になるよ。 ということをちゃんと想像し、予期し、教育する計画(設計)ができるのは、実は技術者でないと無理ではないかと思ってます。経営者・管理職、どれくらい「ツール」のこと解ってますかねえ。。リスクマネジメントとかいいながら、結局はリスク評価はシステム管理者のところに要求が来るのじゃないんですかね〜。 技術者的には、 ・これこれ(ツール)は ・これこれ(セキュリティ違反)が起こるから怖いよ〜 の報告などが求められそうですが、なんだか「懲罰」(どれくらいまずいことか)の価値観を持っておかないと「怖いよ〜」の乱れうちになってしまいそうな気がします。 ## だから管理職から煙りたがらて、話半分に聴かれるのかも 
「セキュリティエンジニア」という肩書きができるのなら、以上の理由でITを超えた部分まで把握する価値観が求められる気がしています。 ちょっと、この場を借りてききたいのですが、 「これぐらいのセキュリティ違反は、どれくらいの懲罰を課するべきか?」 という悩みを持っていらっしゃるかたいらっしゃいますか? 議論させていただければと思います。 ## まあ「気軽に」です〜 | ||||
|
投稿日時: 2004-01-14 20:42
第8回 読者調査結果発表
〜ファイアウォール内部の脅威“内部セキュリティ”対策の実態は?〜 http://www.atmarkit.co.jp/fsecurity/survey/survey08/survey01.html 上記でも触れられている通り、「人間系」のセキュリティ対策が必要ですね。技術だけでは絶対的に不十分です。 | ||||
|
投稿日時: 2004-02-26 16:05
私は業務でセキュリティ教育を行っていますが、情報リテラシーレベルでの教育については効果がありますが、ミッドクラスのエンジニアなどの場合、抑止効果を期待すると、それを迂回することに面白みを感じてしまうところもあるようで難しいです。セキュリティ対策の情報そのものはインターネット上などに氾濫していますし、それによってどの程度監視から逃れられるのかも判別がついてしまいます。そうした意味では、社会的制裁に期待するのが最も妥当かと思います。
ただし、抑止効果や社内綱紀を顧みると、何もお咎めなしというわけには行きませんね。 社内的な罰則のレベルは、想定されるインシデントの重みで決定してもよろしいのではないでしょうか。前提としてセキュリティ教育を施しておく必要がありますが・・・・・・。 現在ではSEA/Jなどのプログラムをご用意しています。 _________________ Hiroaki Kondo Security Management Service Division Hucom,Inc. Japan hkondo@hucom.co.jp | ||||
|
投稿日時: 2004-02-26 16:20
URL付け忘れです。
http://www.sea-j.net/ _________________ Hiroaki Kondo Security Management Service Division Hucom,Inc. Japan hkondo@hucom.co.jp | ||||
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。