情報セキュリティマニュアル公開しました

ひとまず情報セキュリティマニュアルと情報セキュリティ事故管理マニュアルの公開が終わりました。

ここで、情報セキュリティマニュアル作成について、投稿開始前に考えていたことと、その後の変化について振り返っておきます。

情報セキュリティマニュアル
このブログで作成している情報セキュリティのマニュアルは、ISMSを利用して情報セキュリティのルールを作った例です。認証取得を目的としていませんのでご注意ください。
情報セキュリティ事故管理
情報セキュリティ事故の管理についての基本原則や、情報漏えい(情報流出)に対応する基本的な考え方、対応時の注意事項について説明しています。

上記マニュアルがISMS(ISO27001)を使って網をかけることを狙いましたが、品質マニュアルで想定している20名程度のモノづくりメーカーには大げさすぎるので、以下のガイドブックを作成しました。

情報セキュリティハンドブック
情報セキュリティのルール作りのために、情報セキュリティの網をかけるならISMS(ISO27000シリーズ)と考え作ったものの自分で見ても難しい。IPAの中小企業の情報セキュリティガイドラインを利用して新たに作成することにしました。
スポンサーリンク

ISMS要求事項の本文について

そもそもの始まりは、情報セキュリティのルール作りを始めるにあたり、参考になるものを探していたところ、ISO27000シリーズが使えるのではないかと思いついたことです。

実際に、情報セキュリティのルールを作りをISO27000シリーズをベースに始めてみると、付属書Aの部分に具体的な内容が記載されているため、付属書Aを使ってルール作りを始めました。

ISO27000シリーズの要求事項本文については、認証取得を目的しないため、目次の紹介にとどめることにしました。

スポンサーリンク

付属書Aについて

ISO9000シリーズとISO27000シリーズの比較をしたときに、私が最も違和感を感じたのが付属書Aでした。ISMSの付属書Aで、具体的にどうするかを明確にすることが求められていたからです。

また、実際にルール作りを始めてみると、情報セキュリティについての前提ともいえる情報資産について、何をどこまで対象とするかを決めないと具体的な運用や必要な対策の検討も難しくルール作成が進まなかったため、ざっくりとした情報資産一覧を作りました。

情報資産一覧(情報資産目録)の例
ISMSを使うため情報セキュリティマニュアルを作る際に必要となる情報資産一覧。ここで紹介する情報資産一覧の様に、まずはざっくりと作り、情報セキュリティマニュアル作りを前に進めることをおすすめします。
スポンサーリンク

情報システムの管理者側の内容について

当初は「Need to Knowの原則」から、目次の紹介までと考えていましたが、情報システムの利用者のルールをまとめていくうちに、管理者側の内容についても投稿した方がよいと考えを変えたことについて、以下に列挙します。

  • 中小企業では、1人で全社の基幹システム、インフラ、パソコンなどを担当しているケースが多いらしい。
  • 情報システムの運用、サポートに手一杯で、ルール作りまで手が回らないのが現実らしい。
  • ルール作りにあたり、何をどこまでやればよいか参考になるものがみつからない。

と考えたこと、また、

  • 管理部門だけでなく管理職にも情報セキュリティについての役割がある。
  • 管理部門、管理職含め、情報セキュリティについては、ほぼ知らないのが現実のようだ。

と考えていることから、ある程度公開した方がよいのではないかと思い、考え直しました。

さらに、

  • SNS投稿などによる情報流出やセキュリティ事故がニュースとして報道され、特別なことではなくなっている。
  • 他人の情報公開は、例えそれがイタズラだとしても、公開した本人にもリスクがある。
  • 個人のセキュリティ、プライバシーを守るのは、利便性とトレードオフの関係にある。

と思いますので、

  • 個人としても、情報流出の危険性、リスクを知ることが必要になってきており、自分でできる対策はしなければならない時代になっている。

と考えています。

まとめ

情報セキュリティ・マニュアルについて一通り投稿したところで、これまでを振り返ったことについて、以下の項目でまとめました。

  • ISMS要求事項の本文について
  • 付属書Aについて
  • 情報システムの管理者側の内容について
はかせ

ISOを学ぶきっかけは、知り合いの社長さんからのISO認証取得の相談からでした。
品質マネジメントは、会社をよくするツールであり、チームやプロジェクトにも使えるよくできた仕組みです。

はかせをフォローする
博士のつぶやき
スポンサーリンク
スポンサーリンク
はかせをフォローする
ビジョンで回す博士の品質マネジメント
タイトルとURLをコピーしました