【情セキ.007】情報セキュリティマネジメント
佐藤@IT雑貨屋です。
ここまでの回で情報セキュリティの基本的な事について書かせて頂きましたが、ここからは組織として情報セキュリティに取り組む際の具体的な内容について、少し書いてみたいと思います。
個人で自身の持つ情報を守る事は、自分自身の意識の持ち方や、あとは利用するPCや情報端末に必要だと思う措置(対ウィルスソフト等)をインストールする事で対処する事は出来ます。しかし組織で取り組む場合には、それではできません。やはり組織として取り組むシステム(仕組み)を作らなければならないのです。何故なら組織は個人の集まりであり、それぞれに行動様式も異なれば考え方も異なります。だから組織としての共通認識、共通の行動がとれる仕組みを作り、もしインシデント(事故)が発生した場合には、対応できる体制を取っておく必要があります。
世の中には情報セキュリティの様々なサービスやソリューションがありますが、それらの何れを組織として取り込み運用していくのか、そこについても情報セキュリティに取り組む仕組みを検討する中で、導入の可否を判断していく事で、より効率的に構築・運用する事が出来ます。
この辺りの事はISO/IEC規格でも規程されていて、日本国内ではJIS Q 27001として制定されています。この企画書はJISのHPで購入する事が出来ますが、1部数千円と、割と高価なものになっています。
まずは情報セキュリティマネジメントの全般的な事柄について、少し紹介したいと思いますが、ここで説明する概要は。ISO27001認証取得の際に取り組む概要となっています。やはり情報セキュリティマネジメントを組織で取り組むには、このマネジメントシステムが一般的なひな形となります。
認証取得有無はさしおいて、組織として情報セキュリティに取り組む際の、一つの参考例としても見て頂ければいいかと思いますので、よろしくお願いします。
◆情報セキュリティポリシーの検討
これは「情報セキュリティ基本方針」とも言いますが、情報セキュリティに取り組む際には、組織としてどの様な情報を、どのレベルまで機密性・完全性・可用性を維持しながら守るのか、その基本的な方針を検討する事から始めます。守るべき情報は組織によって異なりますし、大きな組織であれば部門ごとに異なるケースもあります。ISMSではこれを「適用範囲(スコープ)」と呼びますが、組織としてこれらの事をまずは検討する事から、情報セキュリティマネジメントは始まります。
◆情報資産の洗い出し
まずは組織内にある情報資産を可能な限り洗い出す必要があります。一口に情報資産といっても、あまりにも大雑把な事なので、以下の観点から情報資産を洗い出すという事が一般的な手法となります。
①物理的資産
通信装置やPCなどの情報端末、その外記録媒体などを、そこに記録されている情報と
共にすべてを洗い出します。
②ソフトウェア資産
組織内で利用しているソフトウェア、開発ツールなどを洗い出します。この時に、
ソフトウェアや開発ツールが、どういった情報資産と関係しているかも可能な限り
明確化します。
➂人的資産
人ごとに保有する業務経験や技能、また資格などについても洗い出しを行います。
④無形資産
組織のイメージや評判なども情報資産の洗い出しの参考として洗い出しします
⑤サービス資産
利用している設備サービス、また通信さーいすやアプリケーションサービスなど
も洗い出しして、紐づく情報資産を明確にします。
⑥直接情報資産
情報資産を、記録された媒体の種別と共に明確にします。
ここで洗い出しした情報資産は、情報資産管理台帳にまとめて管理を行う様にします。
◆リスクアセスメント(リスク分析)
リスクアセスメントについては、情報セキュリティマネジメントの肝となる部分なので、後程別でまとめます。
◆規程類(文書化)
リスクアセスメントの結果、情報セキュリティの対策基準を維持するために。具体的な遵守事項や内容を規程として文書化します。これらの文書は組織として内部の従業員などにしっかり教育をし、周知をする事で情報セキュリティマネジメントを動かしていきます。具体的には以下の文書類の作成や加筆が必要となります。
・情報管理規定
・機密管理規定
・文書管理規定
・マルウェア感染時の対応規程
・事故への対応規程
・情報セキュリティ教育の規定
・雇用契約
・職務規程
・罰則規定
・例外の規定
・規則変更の規定
・規定の承認手続き など
次回はこの情報セキュリティマネジメントをシステム(組織の仕組み)として運用する事についてまとめます。