 |
||||||||||||
|
||||||||||||
| 1 2 3 4 次のページ | ||||||||||||
|
||||||||||||
| ISMS認証取得の必要性と効果 | ||||||||||||
|
第1回でも説明したように、情報セキュリティに関する事件・事故は多発しており、それらが企業に与える影響は非常に大きい。このような状況の中で、企業は個人情報保護法の施行もあって、それなりに情報セキュリティに対する組織や仕組みを構築して対応してきているが、それでも事件・事故は増えている。 この原因としては、企業の情報セキュリティ体制はまだまだ不十分であり、仕組みとしても外部からの脅威を想定したものが多く、セキュリティに対する投資目的が不明確なケースも多いと考えられる。更に、ITの進歩が我々の想定をはるか超えたスピードで進んでおり、これまでの組織や仕組みだとうまく対応できなくなってきていると思われる。 こうした中で留意すべき点は、企業の内部者による漏洩などの不正行為への対策である。不正行為の大半は社員・外部委託会社・ベンダーなどの内部勤務者・退職者などによるものである。こうした内部者による犯行を前提として、情報セキュリティ対策を構築すると、徹底しすぎによる重装備で高コストなものになりがちになり、運用がまわらなくなる可能性も高い。 内部者の犯行は発生すると大変な事態になるが、発生確率は低いのでバランスを考慮して対策を検討するとよい。例えば、発生確率を下げるためには次のような対策を実施する。
表1:内部犯行の防衛策 このような簡単なことでも、情報セキュリティに関する事件・事故の発生率を下げることができる。 |
||||||||||||
| ISMS認証取得の意義 | ||||||||||||
|
しかしながら、情報セキュリティ対策を部署ごとにばらばらで実施するのでは効果があまり得られない。そこで、企業の情報セキュリティ管理体制を適切に確保する方法の1つとして、個々の部署が情報セキュリティを個別に対応・維持していくのではなく、経営層が定めた「情報セキュリティ基本方針」にしたがうことが考えられる。そこで、以下のような体制を構築できるISMSが注目されている。
表2:ISMSが注目される理由 ISMSでは企業における適切な情報セキュリティ管理体制として、図1に示すような体制の構築を求めている。  図1:ISMSが求めていること (画像をクリックすると別ウィンドウに拡大表示します) |
||||||||||||
|
1 2 3 4 次のページ |
||||||||||||
|
|
||||||||||||
|
|
||||||||||||
|
||||||||||||
|
|
||||||||||||
|
||||||||||||
-
-
連載
