 |
|
|
企業に求められる「確からしさ」とは? ■第2回■(2003.3.18)
■ 「できることから始めよう」の意識を徹底文書化したことを実践してこそ意味がある
第1回では、BS7799とISMS認証基準の概要、そして、2003年1月に両規格の認証を取得したアイ・ティ・フロンティア セキュリティソリューション部のおもな業務内容、そして、BS7799とISMSの認証取得にいたった背景について紹介した。第2回目では、セキュリティソリューション部の具体的な取得の手順、取得の過程で得られたノウハウについて踏み込んでみよう。
>> 文書審査に向けて行う"予備審査"
BS7799、ISMSともに、民間の認証機関による予備審査、文書審査、実地審査があることは、第1回目で先述した。このうち、予備審査は、認証を取得しようとする企業が希望すれば受けられる、いわばオプションの審査で、正式な文書審査を受けられる段階にあるかどうかを認証機関が判断してくれるものである。オプションとはいえ、いきなり文書審査を受けてクリアできる自信がない企業の場合は、予備審査を受けたほうがよいようだ。
アイ・ティ・フロンティアのセキュリティソリューション部でも、予備審査を受けている。実際、文書審査をいきなり受けて、たとえば「セキュリティポリシーが文書化されていない」といった場合には、「重大な不適合」が存在するとみなされ、その場で審査が打ち切りとなってしまう可能性がある。そのような結果を招かないためにも、予備審査で、「重大な不適合」、「軽微な不適合」に該当する部分については、あらかじめチェックしておいたほうがよいだろう。
さて、第1段階の文書審査に向けて、セキュリティソリューション部では、まず、自社が保有する情報資産を洗い出し、それぞれの情報資産にどのようなリスクがあるかをピックアップすることから着手した。次に、リスクに基づいて実施すべき目標と管理策を策定し、セキュリティポリシーを策定。そして、実施の手順書作りを行った。
これら一連の過程は、BS7799、ISMS認証を取得しようとする企業であれば、どこもが踏襲すべきものである。
セキュリティソリューション部でも、この流れに則って作業を進めたが、それとは別に、部員の「意識付け」を徹底したという。セキュリティソリューション部 BS7799推進担当の渡辺克宏氏は、「まずは、『できることから始めよう』と机の上を整理整頓するクリアデスク、離席するときにはパソコンの中身を見られないようにロックするクリアスクリーンの2つを徹底することから始めました。これらはBS7799の管理策の項目にもあります」と、「意識付け」の重要性を強調する。
アイ・ティ・フロンティア上野事務所は以前より、IDカードがなければ入れない「保護区画」となっていたが、たとえば、担当者が離席しているパソコン画面に重要な機密情報が表示されっぱなしだったり、机の上に取引先企業の情報が置き去りにされているようでは、いくら保護区画とはいえリスクがともなう。
そこで、まずは、約10名ほどいる部員全員が、自分の机を整理整頓し、離席時にはパソコンをロックするといった、情報セキュリティに対する基本的な意識を再認識させ、それを徹底させたのである。
>> 情報資産を洗い出し、リスク分析を行う
それでは、具体的に情報資産の洗い出しからセキュリティポリシーの策定までの過程で、実際の現場ではどのような作業が進められたのだろうか。
【執筆:下玉利 尚明】
株式会社アイ・ティ・フロンティア
http://www.itfrontier.co.jp/
(詳しくはScan Security Managementをご覧ください)
http://shop.vagabond.co.jp/m-ssm01.shtml
|
|
    |
|
|
