開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

  • 会員限定
  • 2009/12/28

【連載】情報セキュリティの投資対効果を追求する(19)BCMSとその他のマネジメントシステム

これまで、情報セキュリティの分野において投資対効果を論じることはタブーとされてきた。その結果として管理策を導入していながら事故を起こしてしまうケースが続発しているのは、ご存じのとおりだろう。ここにきて、情報セキュリティの分野において“有効性”というキーワードが注目されるようになってきた。何のための情報セキュリティなのか、ローブライトコンサルティング 代表取締役 加藤道明氏が論じる。第19回は、BCMSとその他のマネジメントシステムについて考察する。

加藤道明

加藤道明

○シニアセキュリティコンサルタント ○JIPDEC ISMS主任審査員(ISJ-B00023) ○財団法人日本科学技術連盟所属MS審査員(ISMS、ITSMS、BCMS) ○平成15年度保健医療福祉分野ISMS制度WGメンバー ○電気情報通信学会員  金沢工業大学大学院(情報工学専攻)卒業、1986年関西日本電気入社、日本電気、住商情報システムのセキュリティ・ソリューション課長を経て、2004年9月独立開業、現在に至る。  基幹業務システム(主に販売管理と生産管理)と情報通信およびセキュリティに精通。1997年、金沢市と米国サンフランシスコのオフィス間にVPN(仮想閉域網)を構築。以来、ネットワークセキュリティ、情報セキュリティマネジメント、個人情報保護に関して、コンサルティングや教育およびシステム設計で数多くの実績を持つ。また、行政系介護支援事業における個人情報保護コンサルティングおよび同事業情報セキュリティ委員会事務局などの経験もあり。ISMS/BS7799、プライバシーマーク認証取得および運用、また、システムセキュリティ設計の実績豊富。

個人情報保護規程やISMSマニュアルなども
事業継続計画(BCP)

 ご存じだろうか。個人情報保護規程やISMSマニュアルなども事業継続計画(BCP)である。事業継続に影響を及ぼすリスクに対し自律的かつ継続的に対処・推進するマニュアルをBCPと呼ぶことができる。BCPは必ずしも地震対策や新型インフルエンザ対策だけではない。近年、金融システムの障害、自動改札や航空機チェックインシステムの障害など、多くの利用者に迷惑を掛ける事故が続いたことは言うまでもない。あらゆる経済活動にコンピュータシステムがかかわっている時代、システム障害、人為的ミス、不正利用などのIT障害に対してもBCPが必要になってきている。

 経験や勘に頼った対処では十分な責任が果たせない時代がきている。体系的、かつ、組織的なBCPを整備することが求められている。

BCMSとその他マネジメントシステムの関係

 BCMSにおいて、BCPはビジネス影響分析(BIA)に基づいて策定することが要求されている。PMSはISMSの管理策の一つに位置づけられている。また、ISMSはITSMSの要求事項の一つとして要求されている。BCMSとその他マネジメントシステムの関係を整理すると、図のように表すことができる


※クリックで拡大
図:BCMSとその他マネジメントシステムの関係


 BCMSの規範BS25999-2が発行されたことにより、マネジメントシステムの大きな枠組みが見えてきた。事業への影響を分析し、その影響に応じたマニュアルを整備する。個人情報保護が優先課題となる事業者ならば、個人情報保護規程を、システム管理が優先課題であればISMSマニュアルを整備すればよい。ITSMSではITサービスを受ける側と提供する側の責任を明確にする。特に外部委託がある場合は、サービスレベルを具体的にすることが重要である。

BCMS導入のすすめ

 「過剰な個人情報保護対策があるような気がする」、「情報セキュリティマネジメントの目標設定がうまくできない」、「管理策の取捨選択がうまくできない」といった状況はないだろうか。そういった組織にBCMSの導入をおすすめしたい。BIAを行うことにより、ムリ・ムラ・ムダな対策を抑制することができる。また、対策が必要な理由も明確になる。事業への影響を前提にしたリスクアセスメントと管理策の選択になるので、目標が立てやすい。過剰な対策かどうかも判断しやすい。

 経費削減が求められる時代、PMSやISMSを合理的、かつ、経済的に運用するためにも、ぜひBCMSの導入をおすすめしたい


《次回へつづく》

《撮影:郡川正次》

この続きは会員限定です

ここから先は「ビジネス+IT プレミアム会員」に登録の方(登録は無料)のみ、ご利用いただけます。

今すぐビジネス+IT会員にご登録ください。

すべて無料!ビジネスやITに役立つメリット満載!

  • 1

    インタビューから事例記事まで、ここでしか読めない1万本超の記事が無料で閲覧可能

  • 2

    導入事例資料や技術資料、デモ動画などを無料でダウンロード・閲覧可能

  • 3

    年間1,000本以上、会員限定のスペシャルセミナーにご招待

  • 4

    ビジネス+IT編集部が必読記事を、メールマガジンでお知らせ!

IT投資・インフラ戦略 ジャンルのトピックス

IT投資・インフラ戦略 ジャンルのIT導入支援情報

関連リンク

PR

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!