開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

  • 会員限定
  • 2008/10/21

【連載】情報セキュリティの投資対効果を追求する(10)事業継続管理と情報セキュリティ

これまで、情報セキュリティの分野において投資対効果を論じることはタブーとされてきた。その結果として管理策を導入していながら事故を起こしてしまうケースが続発しているのは、ご存じのとおりだろう。ここにきて、情報セキュリティの分野において“有効性”というキーワードが注目されるようになってきた。何のための情報セキュリティなのか、ローブライトコンサルティング 代表取締役 加藤道明氏が論じる。第10回は、事業継続管理と情報セキュリティについて考察する。

加藤道明

加藤道明

○シニアセキュリティコンサルタント ○JIPDEC ISMS主任審査員(ISJ-B00023) ○財団法人日本科学技術連盟所属MS審査員(ISMS、ITSMS、BCMS) ○平成15年度保健医療福祉分野ISMS制度WGメンバー ○電気情報通信学会員  金沢工業大学大学院(情報工学専攻)卒業、1986年関西日本電気入社、日本電気、住商情報システムのセキュリティ・ソリューション課長を経て、2004年9月独立開業、現在に至る。  基幹業務システム(主に販売管理と生産管理)と情報通信およびセキュリティに精通。1997年、金沢市と米国サンフランシスコのオフィス間にVPN(仮想閉域網)を構築。以来、ネットワークセキュリティ、情報セキュリティマネジメント、個人情報保護に関して、コンサルティングや教育およびシステム設計で数多くの実績を持つ。また、行政系介護支援事業における個人情報保護コンサルティングおよび同事業情報セキュリティ委員会事務局などの経験もあり。ISMS/BS7799、プライバシーマーク認証取得および運用、また、システムセキュリティ設計の実績豊富。

事業継続管理と事業継続計画

 ここで言う事業継続管理(BCM: Business Continuity Management)とは、組織を脅かす潜在的なインパクトを認識し、利害関係者の利益、名声、ブランドおよび価値創造活動を守るため、復旧力および対応力を構築するための有効な対応を行うフレームワーク、包括的なマネジメントプロセスである。一方、事業継続計画(BCP: Business Continuity Plan)とは、潜在的損失によるインパクトの認識を行い実行可能な継続戦略の策定と実施、事故発生時の事業継続を確実にする継続計画であり、事故発生時に備えて開発、編成、維持されている手順および情報を文書化したものを指す。一般的にBCPはBCMの活動において策定されるものである。

5つの管理策を要求

 情報セキュリティマネジメントシステム(ISMS: Information Security Management System)においても、BCMを重要な管理策として位置づけている。ISMSでは、情報システムの重大な故障又は災害の影響から事業活動の中断に対処するとともに、重要な業務プロセスを保護し、また、事業活動及び重要な業務プロセスの時機を失しない再開を実現にするために次の5つの管理策を要求している。

【1】BCM手続への組み込み:組織の事業継続に必要な情報セキュリティの要求事項を事業継続管理の手続に組み込み、維持すること。

【2】ビジネスインパクト分析:業務プロセス中断の発生確率、影響および中断が情報セキュリティに及ぼす結果を考慮し、その中断を引き起こし得る事象を特定すること。

【3】BCPの策定と運営:重要な業務プロセスの中断または不具合が発生した場合に運用が維持又は復旧できるように、また、要求されたレベル及び時間内での情報の可用性が確保できるようにするための計画を策定し、実施すること。

【4】枠組みの維持・管理:策定した計画の全てが整合したものになるように、情報セキュリティ上の要求事項を矛盾なく取り扱うために、また、試験および保守の優先順位を特定するために、事業継続計画を一元化し、その枠組みを維持すること。

【5】BCPの維持・管理:事業継続計画は、最新で効果的なものになるよう、定めに従って試験し、更新すること。

 【2】~【5】を図に示すと次のとおりになる。


図:BCMの流れ


ISMSはBCPの1つに相当

 図に示すとおりBCPはビジネスインパクト分析(BIA: Business Impact Analysis)の結果として策定する。BCPの具体例には、リスク管理に関する規程類(情報セキュリティポリシー、個人情報保護規程、コンプライアンスマニュアル、危機管理マニュアル、コンテンジェンシープランなど)が挙げられる。つまり、ISMSはBCPの1つに相当することになる。BIAの結果として、ISMSを構築・運用する。経営の視点から見ると、その方が論理的であり理解しやすいかもしれない。

ISMSを経営に寄与させる為にはBCMが鍵

 前回、「行き過ぎた対策」に着目し、日本社会における情報セキュリティは、自主的に設定した目標を管理するモデルではなく、むしろ、顧客との合意に基づいた目標を管理するモデル、つまり、ITSMSの枠組みの方がなじむのかもしれないと述べた。今回は自主的に目標を設定するものの、BIAの結果を基に計画を立てる点がポイントである。ISMSを経営に寄与させるためにはBCMが鍵なのかもしれない。

《次回へつづく》

《撮影:郡川正次》

この続きは会員限定です

ここから先は「ビジネス+IT プレミアム会員」に登録の方(登録は無料)のみ、ご利用いただけます。

今すぐビジネス+IT会員にご登録ください。

すべて無料!ビジネスやITに役立つメリット満載!

  • 1

    インタビューから事例記事まで、ここでしか読めない1万本超の記事が無料で閲覧可能

  • 2

    導入事例資料や技術資料、デモ動画などを無料でダウンロード・閲覧可能

  • 3

    年間1,000本以上、会員限定のスペシャルセミナーにご招待

  • 4

    ビジネス+IT編集部が必読記事を、メールマガジンでお知らせ!

セキュリティ戦略 ジャンルのセミナー

セキュリティ戦略 ジャンルのトピックス

セキュリティ戦略 ジャンルのIT導入支援情報

関連リンク

PR

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!