会社情報

パブリシティ

リスクマネジメントABC ISMSの確立・維持 組織の特性ふまえ成熟 日刊工業新聞 2007年(平成19年)2月15日掲載

リスク管理
個人情報漏洩、公開サイトのクラッキングなど数多くの脅威から組織を守るのは容易ではない。
その一方で、一度の事故で失うものは、費用面での被害のみならず、組織の信用やブランドを傷つけ更には、事業継続に影響を及ぼしかねない。

組織が抱える潜在的な情報リスクを洗い出し、体力に見合った対策で保有リスクを極小化するために、情報セキュリティマネジメントシステム(ISMS)認証取得をしている事業者は多い。

JIS Q27001本文の構成組織のISMSは、認証基準を基に組織特性に合わせたISMSを確立後、第三者審査機関により認証取得事業者認定を受け維持する。ISMS認定制度は、国際基準であるISO/IEC27001の日本語版規格を使用する。本規格は、国際基準となった事で近年の技術動向が反映され、管理策の偏りが改善されている。

規格には、機密性、完全性、可用性を維持するための133項目の管理策がある。その管理目的が達成できる策をPDCAモデルを用いて、計画、実施、有効性測定、改善を行う。

今回は、ISMSの確立や維持を行うにあたっての三つのポイントについて述べる。
(1)リスクアセスメント
リスクの洗い出し、資産の評価、脅威の評価、脆弱性の評価、リスクの評価をどの程度の粒度で行うか、また、リスク受容レベルをどの程度に設定するかは、多くの組織で悩む第一のポイントである。これは、時勢の影響や、技術の変遷により、リスクの需要レベルが変動する要素もあり、それらがこの作業を更に困難にしている。
対策としては、[1]外部よりアドバイザーを迎える[2]組織に専任の運営部門を設置し人材を育成も合わせて行う[3]管理策解釈の統一見解を組織としてまとめる事が挙げられる。

(2)維持審査、更新審査の受審の負荷
認定維持のための活動は、現場での対応が不十分になりがちで、形骸化につながるケースがある。
これに対し[1]組織の監査機能に運用を織り込むなど既存の枠組みを利用する[2]教育活動などを通じてISMSに準拠する動機付けを行う、などが挙げられる。

(3)管理策の有効性評価
策定した管理策は、その有効性判断や、管理策の実施状況のモニタリングが必要だが、正確に有効性判断ができていないケースや、モニタリングのための作業負荷が必要以上に大きくなるケースが散見される。これに対し[1]管理策で果たすべき目的を定量的に定める[2]定量的に定めた目的の達成度を自動的且つデジタルに収集できるツールを導入する。
これらにより有効性判断やモニタリングの負荷の軽減はもちろんのこと、先に述べた受審の負荷の軽減も期待できる。

ISMSの確立、維持に王道はない。各組織の特性をふまえて成熟させていく必要がある。本稿がその取り組みの一助になれば幸いである。(日本総研ソリューションズ)


執筆 技術本部:山岡 登美子

※日刊工業新聞 2007年02月15日 掲載記事より転載

PDF版はこちらから(379KB)PDF

ページトップへ戻る

JSOLへのお問い合わせ

特集

特集SAP

SAP ERPの豊富な導入実績があり、企業の業務改革を総合的にご支援します。

特集Biz∫

人とシステムの融合による業務効率化を目指し、あらゆる企業の変革を迅速かつ確実に実現します。

特集オムニチャネル

コンサルティングからソリューションまでオムニチャネル化に向けた最適なご支援を提供します。

特集JSOLアグリ

農業生産に係る数理計画を中核に、農業生産者の経営指標の見える化と収益拡大を実現します。