情報管理の基本 第2話 情報のセキュリティ・クラス分け 補足
昨日投稿した、「情報のセキュリティ・クラス分け」の補足説明です。
ニードツーノウについて
ニードツーノウは、2-3種類(階層)に分けられると書きました。ニードツーノウは、知るべき人はアクセスでき、知らなくて良い人はアクセスできない、というレベルのセキュリティです。
このセキュリティ・クラスが2-3種類(階層)に分けられる具体例としてたとえば、営業担当者が見たり、更新できるデータベースとして、CRMデータベースがあります。営業はまず、CRMシステムにログイン出来なければいけないので、ある人が営業になったら自動的にCRMにはアクセスできるようになるべきでしょう。
しかし、自分のチームのCRMの内容については読み書きができて当然ですが、他のチームの内容については、読み書きできる必要はない、と考えられます。これをセキュリティ・ポリシーと呼んでいます。CRMのシステムは、各会社によって異なるセキュリティ・ポリシーを実現できなければなりません。
また、営業は取引経理システムを、直接見たり更新できては困ります。取引経理システムへのアクセスには経理部の部長の承認が必要でしょう。
さて、以上の簡単な説明でも分かるとおり、ニードツーノウ・レベルの情報クラスにも、
- 役割に応じて自動的に付与されるアクセス権限
- 役割としてアクセスが必要で、かつ、情報のオーナーによる承認が必要なアクセス権限
の最低2種類があります。3種類に分かれる場合は、2の情報オーナーの承認以外にたとえば人事部長の承認も必要になるような場合が想定されます。
想定Q&A
Q1. ITの部門長が承認する必要はないのか。
A1. その情報にアクセスして良いか悪いかを判断する責任は、その情報のオーナーにあります。責任の明確化も情報管理の基本ですので、システムを管理しているからといって、ITの部門長が承認する必要はないでしょう。もちろん、IT部門の情報であって、セキュリティレベルが高く、承認が必要とされるものについては、ITの部門長による承認が必要です。
Q2.今は社内すべての情報にセキュリティ・クラスをもうけていないが、このままでも良いか。大体、どれだけ情報があるのか、分からない。
A2.良い悪いという面からは、当然、良くはないでしょう。インターナル・オンリーの情報も含め、すべての情報の属性を明確化する必要があるでしょう。期間を決めていつかは実施すべきでしょう。明確化すべき属性で重要なのは、セキュリティ・クラスとオーナーです。