|
■情報セキュリティ意識チェック
情報セキュリティに対する皆様の意識や知識をセルフチェックするものです。
「YES」か「NO」か、考えてみてください。
Q.インターネットに接続しなければ、ウイルス感染のおそれはなくなる。
|
| |
(1)YES(そう思う)
(2)NO(そうは思わない)
|
| ※解答及び解説は本文末尾に記載しています。 |
■情報セキュリティ基礎講座
「ISMSのISO化(2)」
前回に引き続きISO27001の話ですが、11月に入り正式発行に至りました。
JIPDECからもISMSからISO27001への移行計画が発表されていましたが、それによると、ISMS、正確に言うと現在日本で運用されている「ISMS適合性評価制度」(以下旧ISMS)は移行に伴い廃棄となるようです。したがって、これから作業を始めて認証を取得しようという企業は「ISMS」ではなく「ISO27001」での審査を受けることになります。
規格の内容を検証してみると、コンサルティングする立場からは、現在の「ISMS」より大幅に時間がかかるという印象はありません。目新しい点を1点あげるとすると「有効性の評価」という言葉が随所に見られるようになったということでしょうか。
目新しいと言っても、品質マネジメントシステムや環境マネジメントシステムにおいては目にする言葉ですので、すでにISO9001や14001の認証を取得されていればお馴染みかもしれません。
ISO27001でいうところの有効性評価とは、実施した管理策(規格に列挙されている各種セキュリティ対策)の有効性を評価するということが主眼になります。ただし、実際には様々な評価方法が想定されますので、それほど悩む点ではないと思われます。
現在ISMSに取り組まれている企業も、これから取り組まれる企業も、ISO27001という言葉に高いハードルを感じる必要はありません。審査を受けさえすればどんな企業でも通るなどという甘い話ではないですが、地道に作業を進めていれば必ず審査には通るはずですので、是非とも挑戦していただきたいと思います。
■[連載]〜コンサルの現場から〜
個人情報の過剰保護
個人情報保護法が完全施行されて半年以上が経った。その間、情報漏えいは止まらず、毎日のようにマスコミが騒ぎ立てている。しかしながら、夏頃から、報道の内容が少し変わってきた。
「個人情報の過剰保護」についても取り上げるようになってきたのである。
会社や組織としては法的リスクをなるべく回避したいがために、何でもかんでも保護しようという方向に傾き、結果として過剰反応を引き起こしているのである。
たとえば法律上で「人の生命、財産の保護のために必要な場合は本人の同意無く、第三者に提供することができる」と例外が認められているが「保護法」を盾にして本来提供すべき情報を教えなかったり、「報道、学術研究、政治活動、宗教活動等」においてはそもそも法の適用外なのだが、そこでも「過剰な保護」が見受けられたりした。
本来、情報というものは活用するために収集し、また保護をせねばならないものだが、この「活用と保護」のバランスが大きく崩れているのである。以前は「活用」に重点が置かれすぎていたために問題が多発し、その是正のために保護法が施行されたわけだが、一転して「保護」に傾きすぎている。
振り子が大きく右に揺れたり左に揺れたりしているのだが、やがてバランスが取れ、健全な方向へ進むであろう。
ISMS(ISO27001)の導入は、当然ながら「情報の保護」に正面から取り組んでいくが、併せて「情報の活用」についても大きなテーマとして取り扱っていくものである。
我々のコンサルの現場でも、常に情報の「保護と活用」のバランスを念頭に進めている。
---------------情報セキュリティ意識チェック 解答・解説--------------
Q.インターネットに接続しなければ、ウイルス感染のおそれはなくなる。
(1)YES(そう思う)
(2)NO(そうは思わない)
(2)NO(そうは思わない) が正解
インターネットに接続しなくとも、ウイルス感染のおそれはあります。社内のネットワークから、あるいはフロッピーやMOなどの媒体を経由してウイルスに感染しますので充分な注意が必要です。
|
