よく、ISMS構築において言われるのが、「なに」を「だれ」から守るのかを考えましたと言われます。この「なに」が「資産」の洗い出しで、「だれ」かが、泥棒、クラッカー、天災・火災だそうです。 従って、「なに」に該当するものが「資産」という目に見えるモノと考えることから、「サーバー、パソコン、電子媒体、紙の資料で特に個人情報が記載されているもの」が重要な(情報)資産となっているようです。
ISMSとは、事業継続のためのマネジメントシステムであって、その導入の目的は、「会社を守ること」ではないでしょうか。会社を守ることで、従業者や顧客、取引先を守ることができるのです。決して、サーバーやパソコンを泥棒から守る、クラッカー(ブラックハット・ハッカー)による不正使用や破壊、盗難から守る「安全性の確保」のための仕組みではありません。
(情報)資産の「安全性の確保」の仕組みがISMSであるならば、マネジメントシステム部分が規定されているISO/IEC27001:2005は不要で、ISO/IEC27002:2007があればよいのではないでしょうか。後者は、「情報セキュリティマネジメントのための規範」であり、管理策に特化したものでISMS認証には使いません。しかし、管理策として求めていることが詳細であることから、管理策を構築する際には大いに役立つものです。是非、お読みください。
ISMSはリスクマネジメントの考え方がベースにありますが、ISO31000:2009規格(リスクマネジメント-原則及び指針)の発行が遅かったこと、ISO27001と同時に発行されるべき、概要及び用語が規定されたISO/IEC27000:2009が、4年も遅れ(本当は、BS7799時代を入れると10年)且つJIS化されなかったことから余計に混乱を招いているようです。
もう一つ、同じJIPDECが所管する、「P-マーク」制度は個人情報保護に関するものですが、こちらは、法規制違反の取り締まりのようなものにもかかわらず「PMS」などと紛らわしい名前を付けたので、「ISMS」は個人情報資産以外の情報資産も扱うだけで、同じようなモノという誤解も相変わらず多いようです。本当は似て非なるものです。
ISMSが「個人情報」を含む領域を拡大した「(情報)資産」に対する「安全性の確保」のための「対策」であれば、それは「コスト」扱いとなります。ISMSを「戦略」とすることで事業継続のための「投資」になります。
さて、ISMSの位置づけ、役割をどのように考えられますか?
0 件のコメント:
コメントを投稿