 |
|
| ISMSからみる情報セキュリティ対策 |
第3回:ISMSの必要性とその効果
著者:みずほ情報総研 青木 淳 2005/10/4
|
|
|
| 前のページ 1 2 3 4 次のページ
|
|
| 企業内におけるISMSの物理的な対策による効果
|
ISMS認証基準の附属書の「詳細管理策」には、情報セキュリティ対策に関するベストプラクティクスが記載されており、企業側が自社内の情報セキュリティ管理状況に合わせて、その管理策を選択することになる。
その中の物理的対策は、導入によって業務の手間(記録票の記載など)が増えるなどの目に見える負荷が少ないため、社員に受け入れられやすい。また特別な意識を持つことなく効果が持続できることもあり、大きなメリットになる。
例えば、ICカードを併用した入退室管理システムの導入などの物理的な対策は、社員が理解しやすく、かつ高いセキュリティ効果が得られる。部屋の出入り時にICカードを使用することならば一般社員に大きな作業負担はなく、入退室管理において不審者や該当部署以外の社員の入室防止などに高い効果を得られる。
ただし、こうした物理的な対策はコストがかかるため、経営層が費用対効果を判断できるように、前述したリスクアセスメントを実施して、それを提示する必要がある。
|
| 企業内部におけるISMS構築の規程関係整備による効果
|
ISMS認証基準には、要求事項として文書の管理や必要な記録をとることが義務づけられている。したがって、情報セキュリティ関連の規程などがもともと少ない。あるいは規程はあるが記録についてはあまりとっていなかったという企業は、ISMS導入後に作成する書類が増えて、通常業務の効率が悪くなると感じる社員が多くなるかもしれない。
しかしながら、この程度の負担感は実践していくことによって感じることは少なくなり、しだいに当たり前のように運用されていくことが通常である。逆に規程類を整えたことによって、情報セキュリティ対策として、何をすればよくて、何をするとよくないのかが明確になり、規則にしたがわない行為に対する注意も容易になる。
そうはいっても、ISMS導入当初からあまり厳格な規程にすると業務の妨げになり定着していかないので、企業にあった範囲で実践できるものからはじめて、以降のPDCAサイクルの中で、少しずつレベルアップしてくのがよいと思われる。このように、ISMSによって、情報セキュリティに関する規程類を整備し、遵守することによってセキュリティ対策が取られる。さらに、次のような副次的な効果も得られる。
|
| ISMSの副次的な効果
|
業務に関連する行為についての記録を義務づけることによって、過去にさかのぼって事件・事故等の検索が容易になる。情報セキュリティに関する事件・事故などについても、当然記録をとることになるので、それを参考にして、新たな対策の検討なども効果的に実施することができる。
情報資産(主に紙媒体)について、電子的な共通の台帳への記入とリスクアセスメントを義務づけることにより、業務に関係のないものがなくなり、デスク周りがきれいに整理される。
この他にもISMSの詳細管理策の中には、クリアデスク・クリアスクリーンの方針もあるので、オフィスやマシン室などは必然的に整理整頓される。特に紙媒体については、不要となったものをシュレッダーなどで確実に捨てる、あるいは必要なものは施錠できるキャビネットなどに保管する習慣が身につくので、盗難や漏洩の防止に効果を発揮する。
情報資産(電子データ)についても保管場所を台帳に記すこととしたため、ほかの社員が作成したデータも探しやすくなる。情報の共有化が効率良く実施できるということである。ただし、同時に情報へのアクセス制限は適切に行う必要がある。
情報資産の追加・見直しは、自身の業務を見直すきっかけにもなり、これを行う際には業務の効率化を意識するようになる。自分自身あるいは該当の部署内にどのような情報資産があるかを見直すということは、これまであまりなかったかと思う。ISMS構築によって情報資産の台帳が整備されることになるので、見直してその情報がどのように使われているかを検証し、業務に本当に必要かどうかを検討するのもよいと思われる。
|
前のページ 1 2 3 4 次のページ
|
|
|
|
|
著者プロフィール
みずほ情報総研株式会社 青木 淳
みずほ情報総研株式会社 システムコンサルティング部 シニアマネジャー
情報セキュリティを中心としたコンサルティング業務を担当。最近のプロジェクトでは、ISMS適合性評価制度認証取得支援コンサルティング、情報セキュリティ監査、個人情報保護法対策支援コンサルティング、情報セキュリティポリシー・スタンダード策定コンサルティングなど。ITコーディネータ、ISMS審査員補。
|
|
|
|
|
|
