- 2014年7月28日
- セキュリティについて
情報セキュリティマネジメントとは
「情報セキュリティマネジメント」という言葉を聞いたことがあるでしょうか。
20年ほど前までは、「情報セキュリティ」とは、サーバや機密情報を物理的に守ったり、セキュリティ設定を行ったりすることでした。しかし、ベネッセの事件にも見られる通り、そればかりでは機密情報を守ることは出来ません。
そこで出てきたのが、「情報セキュリティマネジメント」という概念です。
まとめて言えば、「情報セキュリティマネジメント」とは、以下の一連の行動を指します。
1.「機密情報」の定義を決める。
2.機密情報に関わるリスクを洗い出し、対応すべきかどうかを決定する。
3.対応すべきリスクに対して、対策を取る
4.リスクを監視する。
5.リスクが顕在化したときは対応し、必要な場合は再発防止策や予防策をとる。
そして、この中でもっとも重要なのが2.の項目です。
すなわち、「起きてはマズイこと」がどの程度の確度で発生するのか、どの程度の被害が出そうか、
そういったことを、つぶさに判定していくのです。
ただし、一口に「リスク」といっても様々なリスクがあります。
入退室管理のリスクから、サーバーへの不正アクセス、社員の機密情報持ち出しから、協力会社の不正まで、挙げればきりがありません。
どうすれば網羅的にリスクを判断できるのでしょう?
そこで使えるのが、世界の標準化を推進する「国際標準化機構」が定める、ISO27001というセキュリティの規格です。
そこに附属書Aというリスクチェックリストがありますが、これを用いるのが今のところ最も網羅性が高いといえるでしょう。(本屋さんや、ネットでダウンロード出来ます。有料)
他にも、PCIDSSや、FISCが定めるガイドラインといったリスク管理のための規格、およびチェックリストなどがありますので、用途に応じて使い分ければ良いと思います。