 |
||||||||||||
|
||||||||||||
| 前のページ 1 2 3 4 次のページ | ||||||||||||
|
||||||||||||
| ISMS認証取得の効果と影響 | ||||||||||||
|
ISMSを構築して運用することにより、企業の情報セキュリティ管理体制が強化され、情報漏洩などの脅威が発生する可能性は低減されると思われる。しかしながら、ISMSを構築して運用するとそれなりのコストがかかり、コストにみあった効果を得られなければ導入しても意味がない。ここでは、ISMSを導入することによって得られる効果と影響について整理する。 |
||||||||||||
| 企業内部におけるISMS構築全般の効果 | ||||||||||||
|
ISMSを構築すること自体によって得られる効果について整理する。 |
||||||||||||
| 情報セキュリティの実態の明確化 | ||||||||||||
|
ISMSでは、企業の情報セキュリティ管理の実態把握と、自社内情報資産を明確にしてリスク評価を行うことが構築の第一歩となっている。ISMSを導入していない企業の多くは、事件や事故などが発生してはじめて、システムや部署ごとに情報セキュリティ対策の実態を把握して、リスク評価を実施していた。 こうした情報セキュリティ対策の実態の把握はISMS構築時だけではなく、ISMS運用の際に、マネジメントサイクルの中で定期的に実施される。したがって、その時点の企業を取り巻く情報セキュリティ環境に対する企業の課題を明確にし、全社的な取組みが実現できる。 |
||||||||||||
| 情報セキュリティ対策の課題の明確化 | ||||||||||||
|
ISMSでは自社内の情報資産を明確にした後、それらの情報資産に対してどのようなリスクがあるのかを評価し、課題を明確にする「リスクアセスメント」の実施が義務づけられている。 リスクアセスメントでは、情報資産に対するリスク分析からそのリスクの評価を行い、適正な対策を検討していく。リスク分析では情報資産にとって発生しては困る事象(脅威)と固有の弱点(脆弱性)を明確にすることで表3のことを分析する。脆弱性と脅威には因果関係があり、いわば表裏一体の関係である。
表3:脅威と脆弱性の分析項目 例えば「部屋のドアや窓に鍵がついていない」という脆弱性があれば、「盗難」という脅威が発生する可能性が高まり、「重要な電子情報アクセスする際に、適切なアクセスコントロールがない」という脆弱性があれば、「なりすまし/改竄/情報漏洩」といった脅威が発生する可能性が高まる。 リスク評価では、リスク分析で算定したリスクをリスク評価基準と比較し、リスクの重大さを決定する。その後、リスクの重大さにあわせて、情報資産を効率的に保護する対策を実施していくことになる。つまり、どのリスクから手を打てば良いかの優先順位をつけるということである。 これまでは、情報セキュリティに対する課題やその対策も、場当たり的な対処となるケースが多かったと思われるが、こうしたリスクアセスメントを実施することで、情報セキュリティに対する課題の明確化から対処すべき課題の優先順位が明確になり、企業として適切な情報セキュリティ対策を実施することができる。 また、このような体系的な手法で情報資産に対するリスクを明確化することで、経営層に対しても、自社内の情報セキュリティに対する課題をアピールすることができ、現場担当者がスムーズに情報セキュリティ対策を実施できる。 |
||||||||||||
| 情報セキュリティ対策の計画的実施 | ||||||||||||
|
ISMSでは、リスクアセスメントを実施した後、その優先順位に基づいてセキュリティ対策を実施することになる。その実施にあたっては、「リスク対応計画」を策定して実施する。情報セキュリティ対策も通常のシステム構築のように、計画を立案して実施していくことなるので、その管理も適切に行われていく。 |
||||||||||||
| 情報セキュリティに関する事件、事故に対する迅速な対応 | ||||||||||||
|
ISMSでは、情報セキュリティに関する事件・事故については、すばやく正確に報告することが求められている。当然このような対応を実施するには、情報セキュリティに関する事件・事故に関する対応手順も、規程などで明確に定める必要があると共に、情報セキュリティに対する社員の意識も高くなければならない。 ISMSでは、社員に対して情報セキュリティに関する責任を明確にし、適切な教育を実施することも求めており、これらの対策を実施することによって、社員の意識も大きく変わることが想定される。 |
||||||||||||
|
前のページ 1 2 3 4 次のページ |
||||||||||||
|
|
||||||||||||
|
|
||||||||||||
|
||||||||||||
|
|
||||||||||||
|
||||||||||||
-
-
連載
