目次
情報セキュリティを守るためにISO27001の認証を取得する会社は多いです。
でも、ISO270001これを日本規格にしたJIS Q 27001を理解し、組織のルールを策定するには、それなりの努力が必要です。
また、規格を導入したとしても、情報セキュリティのルールが策定されただけで、情報セキュリティを守れるわけではなく、日々の継続的な努力が必要で、かなり手間のかかる仕事です。
解説本を買うかコンサルタントに依頼する必要はない
JIS Q 27001の規格は、JIS独特の書き方で書かれている部分もあり、また、すべての業態に適用するよう、漠然と書かれているため、時組織への具体的な落とし込みは、初心者にはなかなか難しい状況です。
情報セキュリティを守るために、大金をはたいてコンサルタントに依頼し、また、規格に剃ってないからと審査を何度も受け直すのは、中小企業にはかなりにが重いのではないでしょうか。
情報セキュリティを守るという目的であれば別に認証を取得する必要はありません。
だから、規格のレクチャーををコンサルタントにお願いする必要も全くありません。
防衛省のルールを参考にしてみよう
防衛省は色々な秘密を取り扱っていますが、一番簡単な情報セキュリティの取り扱いとして、調達業者に対して特に情報セキュリティの確保が必要な調達の契約に、明確な情報セキュリティ基準を設けることになりました。
これについては、「防衛関連企業における情報セキュリティ確保について」にまとめられていますが、具体的な内容については「装備品等及び役務の調達における情報セキュリティの確保につ いて(通達)」に定められています。
この通達にしたがうことを要求された調達の契約に応募するためには、この通達にしたがった規則や手順を作成し、防衛省の審査を受け合格しなければならないとされています。
中小企業向けに簡単に情報セキュリティのルールが策定できるようになっている
防衛省の調達企業は、三菱重工や川崎重工などの日本を代表する大企業ばかりではなく、特殊なテクノロジーを持っている企業や清掃業者など、かなり小さな企業も多くあります。
ソフトウェア業界などは多くの下請けを導入していますが、保護すべき情報の適用となる調達は、すべての下請け企業が情報セキュリティに関するルールづくりをする必要があるのです。
そういった企業では、防衛省の仕事を行うからと情報セキュリティの専任者を置いてルールづくりや管理を行うことが難しい状況です。
したがってこの通達で「情報セキュリティ対策実施確認書」を添付し、70項目の情報セキュリティに関するポイントを定め、これを実施すれば良いという具体的な内容を示しています。
まずはこの70項目を参考にして、自分の組織の情報セキュリティに関するルールづくりを行うと良いと思います。
運用している間に、情報セキュリティに関するポイントがだんだんとわかってきますので、それからISMSの導入について検討してみると、より分かりやすくなると思います。
組織名の「防衛省」を変更するだけ!
また、基本方針文書については、調達における情報セキュリティ基本方針にまとめられていて、この内容のうち、「防衛省」となっているところを自分の組織名に書き直せば、情報セキュリティ基本方針はほぼ完成です。
More from my site
会社のセキュリティ対策は、情報ネットワークだけでは不十分です。
会社の情報漏洩は、パソコンだけではありません。
現代は、スマホなどを使った企業での盗聴、盗撮による情報漏洩が多くなっています。
ライバル企業が妙に自分たちの情報に詳しい、社内から盗難の申告が増えた、顧客からの苦情が増えた、長年の顧客から契約を打ち切られた・・・
それは、盗撮や盗聴で情報が漏洩しているからかもしれません。