ISMSをご説明する際、今までですと、次のような記載になるようです。
「情報セキュリティの問題として、インターネット上のホームページの改ざん、ハードウェア/ ソフトウェアのトラブルや関係者による情報の漏洩などが存在しており、それら個別の技術対策 は様々であり、それぞれのレベルで実施されていると思われる。ISMSとは、個別の問題毎の技術対策の他に、組織のマネジメントとして、自らのリスクアセスメントにより 必要なセキュリティレベルを決め、プランを持ち、資源配分して、システムを運用することである。」
しかし、今となっては、「企業における情報リテラシーは、企業文化に大きく影響する」ということが言えます。確かにISMSは、特定した情報資産に対するリスク管理が主軸ですが、リスク価値観は、組織文化と連動し、時には、社員は悪者という前提条件で、セキュリティ管理策を検討し始める企業や、認証審査員も少なくありありません。これがISMSの意図でしょうか?
組織が保護すべき情報資産について、機密性、完全性、可用性をバランス良く維持し改善することが 情報セキュリティマネジメントシステム(ISMS)の基本コンセプトならば、機密性や完全性や可用性でリスクを捉えることは、本末転倒です。私共は、事業リスクを中心に情報セキュリティリスクにアプローチすべきと考えます。ISO/IEC 27001では、組織においてISMSを確立、導入、運用、監視、見直し、維持し、かつそのISMSの有効性を改善する際に、プロセスアプローチを採用することを奨励している背景は、このような意図であると考察します。
ISMS基本方針を基に、
●Plan : 情報セキュリティ対策の具体的計画・目的を策定する。
●Do : 計画に基づいて対策の導入・運用を行う。
●Check : 実施した結果の監視・見直しを行う。
●Act : 経営陣による改善・処置を行う。
このPDCAサイクルを継続的に繰り返し、情報セキュリティレベルの最適化を図ることが重要です。情報セキュリティパフォーマンスを向上させても、事業機会損失ならば、最適化されている状態とは言えません。
私共は、貴社、事業機会に悪影響を与えるようなコンサルティングは、絶対に行いません。事業機会を維持しつつ、リスクマネジメントによる最適化された管理策の導入を通して、事業発展に繋がるISMSの構築、運用をご支援いたします。