昔はイケてたVICのあの人によるセキュリティ関連あれこれ

情報セキュリティに関するあれこれをジャパネットたかた社長ばりのハイテンションでご紹介していきます。

第五話:ISMSって更においしいの?教えて、Google先生!

ISMSってなんだろな?なんだろね?

皆さんは好奇心旺盛な子どもたちに、
ISMSってなあに?ISMSを取ると何でうれしいの?」
って聞かれたら何と答えますか?
筆者は、
ISMSはね、ISMSなんだよ。今ものすごく忙しいからまた今度ね!
ほら、お菓子とプラスしてジュースもあげるから。」
と答えます。
筆者の答えはいつも通り全く当てにならないので
何でも知ってる最強の先生、Google先生にまた聞いてみましょう。

JIPDEC 一般財団法人 日本情報経済社会推進協会のサイトによると、

近年、IT化の進展に伴い、不正アクセスやコンピュータウイルスによる被害、及び内部不正者や外注業者による情報漏えい事件など、情報資産を脅かす要因が著しく増加しており、これらの脅威に対して適切にリスクアセスメントを実施して、企業における総合的な情報セキュリティを確保するためには、ISMSの構築・運用が必須事項となっている。

ISMSが達成すべきことは、リスクマネジメントプロセスを適用することによって情報の機密性、完全性及び可用性をバランス良く維持・改善し、
リスクを適切に管理しているという信頼を利害関係者に与えることにある。そのためには、ISMSを、組織のプロセス及びマネジメント構造全体の一部とし、かつ、その中に組み込むことが重要である。

とあります。
要するに、
「弊社は情報資産を守るためにセキュリティを確保しているきちんとした会社です!」
という事を証明する制度って事ですね。

皆さんは大事なお客様を目的地に予定通り安全にお送りしたい時に、
タクシー事業の許可を受けた業者と、
普通の自家用車の白タクのどちらに乗せたいと思うでしょうか?
お客様をきちんと扱って安全に目的地まで送り届けるという意味で、
タクシー事業の許可を受けた業者に任せる方が圧倒的に安心ですよね。

会社の事業の中で取り扱う情報資産も同じ事が言えると思います。
今の時代、IT技術の発展により、情報資産を大量に高速に扱えるようになり、
しかもインターネットの発達で、大量の情報資産が外部に漏洩し、
あっという間に不特定多数の目にさらされる危険性があります。
会社に情報資産を取り扱う適切な体制や仕組みがない場合、
事業活動の中でそういった事故が起こってしまうリスクは高いと言えます。
もし、そんな事が本当に起こってしまったら、会社の信用は丸つぶれ、
行き着く先はアルティメット土下座です。
ですから、今の時代、事業の中で情報資産を取り扱っている会社にとっては、
ISMSは事業を行っていく上で必須のライセンスの様なものだと言えるでしょう。

「ウチは事業活動の中で情報資産をきちんと取り扱っている業者ですよ」
と対外的にアピールする事で社会的な信用を得ることができ、
お客様は安心してその会社に仕事を任せる事ができます。
仕事をする上で、信用は大事な要素の1つです。
お客様から信用を得る事で新たな仕事を得て利益を生み、
会社は事業を続け、更に事業を広げていく事ができます。

また、会社の事業の中で情報資産を適切に取り扱うための体制や仕組みを構築する事は、
その業務の効率化にもつながります。
タクシー業者がお客様を適切に扱って目的地まで効率的にお送りするために、
適切な体制や仕組みを構築する事で業務を効率化し利益を生みだす様に。
業務の効率化は会社の利益につながっていきます。

ISMSの構築と運用は、
対外的な信用を得る事で受注を獲得し、
業務を効率的に行えるようになる事でより多くの利益を生むという2つの大きなメリットがあると言えるでしょう。

 

・・・と、ここまで読んできて、感のいい読者の皆さんはお気づきになっていることでしょう。
筆者はPマークの時とほとんど同じこと言ってないかと?

Pマークの場合は会社の事業の中で取り扱う「個人情報」が対象だけど、
ISMSで取り扱いの対象となる「情報資産」って具体的に何?と。

情報資産の判断基準としては、
機密性:その情報が特定の関係者のみに開示・提供する必要があるか
完全性:その情報の内容を変更された場合、業務への影響はあるか
可用性:その情報が必要な時に利用できる状態である必要があるか
の3つの観点から、何がその会社の情報資産なのかは、情報資産洗い出しを行い、ISMSの適用範囲として自ら決定する必要があります。

これらに当てはまる情報資産には、
会社が業務を遂行する上で取り扱う機密情報や個人情報等を収めた電子ファイルや文書、
会社が業務を遂行する上で必要な業務用ソフトウェアや自社で開発したプログラム、
会社が業務を遂行する上で必要となるPC、サーバやディスク等のハードウェア、
会社がお客様に提供する情報サービス等が挙げられ、
どれも会社の業務を遂行する上で非常に重要で、
もし、それらが損なわれた場合、会社の業務や事業に大きなインパクトがある事が分かると思います。

業務を遂行する上で必要で、会社にとって価値のある情報を適切に管理し、それらの情報を守るための仕組みを構築する事は、会社組織を守り、事業を継続していく上で必要な防御策と言えるでしょう。


よし!ウチもISMSを構築してISMS認証を取得しよう!でもどうやって?

ISMS認証を取得するためにISMSを構築し、それを運用していくには、知識やスキル、労力が要ります。
しかも、ISMS認証は1度取得して終わりではありません。
3年毎に更新が必要ですから、ISMSを構築してISMS認証を取得した後、更新に向けてそれをきちんと継続運用していく必要があります。

ビック情報株式会社のISMSコンサルティングサービスでは、
ISMS認証取得に関する支援サービスとして、
ISMS認証の取得に必要な、ISMS組織・体制整備、ISMS策定の作業計画立案、ISMS規定の策定と文書化等、ISMSの構築ステップに準拠しつつより現場の実態や業務に即した形でISMS構築をサポートしています。
また、ISMS認証の維持・運用に関する支援サービスとして、
ISMS認証取得後のISMS維持・運用に必要な、維持・更新審査対応、教育・訓練の企画実施、内部監査、マネジメントレビュー、定期的なISMSの見直し・対策といった一連のISMS活動をサポートしています。

 

ISMS認証に関するお客様の目的・課題・お悩みに沿って細かなコンサルティングやサポートが可能です。以下のページでぜひ詳細をチェックしてみてください。

www.vic-info.co.jp