こんにちは
今回は、ISMS(情報セキュリティマネジメントシステム)について書き留めたいと思います。
ISMSが登場するまでの背景
ISMSについてお話しする前に、なぜISMSというものが登場したのかについて説明致します。
皆様は、パソコンのセキュリティ対策は万全ですか?スマートフォンのセキュリティ対策は万全ですか?
パソコンのセキュリティ対策を実施している人は多くても、スマートフォンのセキュリティ対策を実施していない方が結構おられるそうです。
ちなみに私は、暗号化、PINによる認証ロック、アンチウィルスソフト(有償)を実施しているため、ある程度、セキュリティ対策はしていると自負しております。
スマートフォンもパソコンと同じで、情報資産です。
むしろ、連絡先や電話番号などパソコンより漏洩したらまずい情報が多く入っているかもしれません。
そんな情報資産に対するリスクは、”脅威“と”脆弱性“が存在すると発生します。
極論をいうと、外に持ち出さないスマートフォン(紛失の脅威がないなど)は脅威がないため、リスクが少なく、セキュリティ対策が不要だったりもします。
ただ、人によってはセキュリティに対する認識に違いがあります。
上記の例でいうと、外に持ち出さないスマートフォンでも空き巣などの盗難のリスクがあるからセキュリティ対策が必要だとか、外に持ち出すスマートフォンでも、大した連絡先が入っていないからセキュリティ対策は不要だという方がいます。
正直、どれが正解かはわかりません。セキュリティというのはコストがかかるものであるため、費用対効果を考慮して決めていく必要があります。
これを会社全体に適用してみたらどうでしょうか
やはり、セキュリティ対策をするひととしない人が分かれ、効果を発揮できない事でしょう
そこで、セキュリティについて全社的に意思統一、対策手順の明確化をする必要があります。
それらを実現するために、『情報セキュリティポリシ』を策定します。
情報セキュリティポリシとは、会社のセキュリティに対する取り組みやビジョン、基準、罰則規定などを文書の形で明確に示すことです。
規定される文書は大きく分け3種類あります。
1. 情報セキュリティ基本方針
2. 情報セキュリティ対策基準
3. 情報セキュリティ対策実施手順
情報セキュリティポリシは上記の1と2に該当し、3はセキュリティプロシジャと呼ばれます。
情報セキュリティ基本方針は、経営レベルが策定する、会社として取り組むセキュリティ対策です。公表は社長の名前で行います。
その情報セキュリティ基本方針をもう少し、具体的にブレークダウンした文書が情報セキュリティ対策基準
です。会社というよりは各部署レベルで実施する内容が記述されています。
さらに詳細に落し込んだ文書が情報セキュリティ対策実施手順です。セキュリティ維持を行うために実施する具体的な手順が書かれています。(セキュリティパッチの実施報告など)
これらの取り組みにより、顧客や社会から情報セキュリティに対する取り組みの評価を頂くことができ、信頼獲得につながるというわけです。
ただし、情報セキュリティポリシによってリスクをゼロにするというわけではなく、コストとのバランスを見て判断する必要があります。このことを残留リスクをいいます。
そんな情報セキュリティポリシですが、ただ公開しただけでは、なんの意味もありません。
会社のセキュリティに対する取り組みやビジョン、基準、罰則規定を公開しても、十数年後には死文化しているかもしれませんし、社員と情報セキュリティポリシを策定した経営層間で認識に差異があるかもしれません。
ISMSって?
そこで、登場したのがISMS(情報セキュリティマネジメントシステム)です。
ISMSは、情報セキュリティポリシを死文化させずに活用させるためのしくみです。
ISMSはゼロベースで構築するのはさすがに工数がかかるため、ベースラインアプローチを用いて作成します。
この時に利用するベースラインアプローチがJIS Q 27000シリーズだったりします。
ISMSの規格はもともと、イギリスからひな形が作成されました。このひな形がBS7799-1(ベストプラクティス)と呼ばれ、広く受け入れられました。
そこで、国際標準機関であるISOが取り入れ、ISO/IEC 27002を公表し、その日本語バージョンとしてJIS Q 27002が策定されました。それをもとに認証基準としてJIS Q 27001が作成されました。
これがISMSを作成するためのベースラインアプローチとなります。
ISMSのメリットって?
このISMSですが、上記のとおり認証基準となっています。
つまり、第三者機関(JIPDECなど)によって「この企業の情報セキュリティポリシ」は良いとお墨付きを頂くわけです。
それによって、顧客や社会から情報セキュリティに対する取り組みの評価を頂くことができ、信頼獲得につながるというわけです。」
ISMSのポイント
ISMSの運用におけるポイントを押さえたいと思います。
・ISMSは認証基準であるため、取得したら対外アピールのため、経営戦略に盛り込むべき
・いきなり、全社的に適用するのは現場の理解や運用を考慮して得策ではないため、例えば情報システム部門から先行して実施するなど、部署を限定とするべき
※この際、資産管理台帳を作成し、適切な管理を進めること
・ISMS委員に経営者を参加させる、罰則規則を盛り込んで牽制をかける、組織改編などの特定の時期をトリガーにして規定の見直しを変える習慣を取り入れて死文化させないこと
・社員に対してセキュリティ教育を実施し、正しい知識と理解を得ること
まとめ
・セキュリティというのはコストがかかるものである
・情報セキュリティポリシを死文化させずに活用させるためのしくみ
・ベースラインアプローチがJIS Q 27000シリーズ
・社員に対してセキュリティ教育を実施し、正しい知識と理解を得ること
以上