A:
情報セキュリティの国際規格「ISO17799」はもともと、英国の国内規格BS7799として生まれたものです。95年に初版が制定され、99年に一度改訂が行われています。その際、BS7799−1(パート1)とBS7799−2(パート2)とに分かれました。
この違いは、パート1が「ここまでやった方がよい」というガイドラインであるのに対し、パート2は「これとこれをクリアしたら認証を与える」という認証基準となっていることです。
ISO17799とは、ガイドラインのBS7799−1を国際規格化したもので、パート2に関してはまだISOになっていません。
かつて「情報セキュリティ」とは主に個別対策を考える発想でしたが、最近では「マネジメント」しなければならないという発想に変わってきています。そこで、この「マネジメントシステムの規格」が誕生したわけです。つまり、機密漏えいを防止すること、データを改ざんされたり、誤った利用で問題が起きないようにすることです。
具体的には、次に述べるような作業に基づいて企業ごとに対策基準を定めたうえで実行していきます。対策すべき対象は、人的部分から建物、設備、システムそのもの、データや媒体の保護など、多岐にわたっています。
事故を未然に防ぐことができる
この仕組みを導入するためには、次のような作業が必要です。
(1) |
経営者による支持と方針の決定……まず、最初に行うべきことは経営者が正式に「当社では情報セキュリティに取り組むので協力をお願いします」と表明し、その方針を打ち出すこと。
|
(2) |
目的と対象の明確化……認証取得を目指すか目指さないか、導入対象の範囲を全社とするか一部とするかなどを検討します。
|
(3) |
対象の洗い出しとリスク分析……情報セキュリティの対象の洗い出しを行います。情報システムそのものはもちろん、扱われるデータや紙媒体、建物の入退管理なども検討対象とすべきです。これらについて弱点があるかないかを分析していきます。
|
(4) |
対策の検討と導入……弱点のポイントがわかったら、その弱点をなくす、あるいはリスクを軽減するために対策を検討します。もちろん検討するだけではダメで、実際に導入していく必要があります。重要なのは自社にとって、必要な度合いを鑑みて対策を検討していくことです。
|
(5) |
実施状況の確認……情報セキュリティマネジメントで重要なことは当初の想定と実際に対策を行った結果との差があるかどうかです。具体的には対策が行われていないという問題があったり、対策の効果が低いという問題があったりします。このチェックの一つとして内部監査を行うことが必要です。 |
(6) |
見直し……内部監査などのチェック結果をもとに、マネジメントシステムが十分効果的かどうかの見直しを、定期的に行います。この際のポイントは情報セキュリティに関する報告を十分に受けて、経営者がこの見直しを行うということです。 |
このようなマネジメントシステムを導入することで、どんなメリットがあるかといえば、「まったく想定していなかったリスク」による事件・事故の発生を未然に防ぐことができることです。また、定期的に自社のセキュリティ状況を確認できるようになることも、大変有効な点だと思われます。
|