情報セキュリティマニュアルに関しては、当初ISMS(ISO27001)を念頭にしていましたが、情シスの運用や開発を経験していたことが裏目にでてしまい、網をかけることについては満足できたのですが、自分で読んでみても分かりやすいとは言えないものになってしまいました。
情報セキュリティ事故管理ガイドラインとの2本立てになっています。
そこで、上記マニュアルは、品質マニュアルで想定している20名程度のモノづくりメーカーには大げさすぎるので、「身近なことから始める情報セキュリティ」をモットーに情報セキュリティガイドブックを作成しました。
ここでは、ISMS要求事項と付属書Aについて説明します。
ISMS要求事項の本文について
そもそもの始まりは、情報セキュリティのルール作りを始めるにあたり、参考になるものを探していたところ、ISO27000シリーズが使えるのではないかと思いついたことです。
実際に、情報セキュリティのルールを作りをISO27000シリーズをベースに始めてみると、付属書Aの部分に具体的な内容が記載されているため、付属書Aを使ってルール作りを始めました。
ISO27000シリーズの要求事項本文については、認証取得を目的しないため、目次の紹介にとどめることにしました。
付属書Aについて
ISO9000シリーズとISO27000シリーズの比較をしたときに、私が最も違和感を感じたのが付属書Aでした。ISMSの付属書Aで、具体的にどうするかを明確にすることが求められていたからです。
また、実際にルール作りを始めてみると、情報セキュリティについての前提ともいえる情報資産について、何をどこまで対象とするかを決めないと具体的な運用や必要な対策の検討も難しくルール作成が進まなかったため、ざっくりとした情報資産一覧を作りました。
情報システムの管理者側の内容について
当初は「Need to Knowの原則」から、目次の紹介までと考えていましたが、情報システムの利用者のルールをまとめていくうちに、管理者側の内容についても投稿した方がよいと考えを変えたことについて、以下に列挙します。
- 中小企業では、1人で全社の基幹システム、インフラ、パソコンなどを担当しているケースが多いらしい。
- 情報システムの運用、サポートに手一杯で、ルール作りまで手が回らないのが現実らしい。
- ルール作りにあたり、何をどこまでやればよいか参考になるものがみつからない。
と考えたこと、また、
- 管理部門だけでなく管理職にも情報セキュリティについての役割がある。
- 管理部門、管理職含め、情報セキュリティについては、ほぼ知らないのが現実のようだ。
と考えていることから、ある程度公開した方がよいのではないかと思い、考え直しました。
さらに、
- SNS投稿などによる情報流出やセキュリティ事故がニュースとして報道され、特別なことではなくなっている。
- 他人の情報公開は、例えそれがイタズラだとしても、公開した本人にもリスクがある。
- 個人のセキュリティ、プライバシーを守るのは、利便性とトレードオフの関係にある。
と思いますので、
- 個人としても、情報流出の危険性、リスクを知ることが必要になってきており、自分でできる対策はしなければならない時代になっている。
と考えています。
まとめ
本ブログで公開している、ISMSを念頭のおいた情報セキュリティマニュアルと情報セキュリティ事故管理と、身近なところから始める情報セキュリティハンドブックについて、以下の項目でまとめました。
- ISMS要求事項の本文について
- 付属書Aについて
- 情報システムの管理者側の内容について
