情報セキュリティマネジメントとは

「情報セキュリティマネジメント」という言葉を聞いたことがあるでしょうか。

20年ほど前までは、「情報セキュリティ」とは、サーバや機密情報を物理的に守ったり、セキュリティ設定を行ったりすることでした。しかし、ベネッセの事件にも見られる通り、そればかりでは機密情報を守ることは出来ません。

そこで出てきたのが、「情報セキュリティマネジメント」という概念です。

 

まとめて言えば、「情報セキュリティマネジメント」とは、以下の一連の行動を指します。

1.「機密情報」の定義を決める。

2.機密情報に関わるリスクを洗い出し、対応すべきかどうかを決定する。

3.対応すべきリスクに対して、対策を取る

4.リスクを監視する。

5.リスクが顕在化したときは対応し、必要な場合は再発防止策や予防策をとる。

 

そして、この中でもっとも重要なのが2.の項目です。

すなわち、「起きてはマズイこと」がどの程度の確度で発生するのか、どの程度の被害が出そうか、

そういったことを、つぶさに判定していくのです。

 

ただし、一口に「リスク」といっても様々なリスクがあります。

入退室管理のリスクから、サーバーへの不正アクセス、社員の機密情報持ち出しから、協力会社の不正まで、挙げればきりがありません。

どうすれば網羅的にリスクを判断できるのでしょう?

 

そこで使えるのが、世界の標準化を推進する「国際標準化機構」が定める、ISO27001というセキュリティの規格です。

そこに附属書Aというリスクチェックリストがありますが、これを用いるのが今のところ最も網羅性が高いといえるでしょう。(本屋さんや、ネットでダウンロード出来ます。有料)

他にも、PCIDSSや、FISCが定めるガイドラインといったリスク管理のための規格、およびチェックリストなどがありますので、用途に応じて使い分ければ良いと思います。

LINEで送る
Pocket

こんな記事も読まれています