このエントリーをはてなブックマークに追加 LINEで送る

ISMSは取得範囲を選択できる

ISMSを取得する場合は、会社の「どの範囲」でISMSを取得するかを決めていきます。
Pマークは必ず全社で取得しなければなりませんがISMSの場合は事業所単位や部署単位で
取得の範囲を選択することが出来ます。

全社取得でなく部分取得をした場合に起こる良くないケースとして
ISMSの取得部分と未取得部分でルールが全く違うことがあります。

メールの添付ファイルに関する例

ISMSを取得する部署だけ、メールで添付ファイルを送信する際にはパスワードをかけるけど
ISMSを取得しない部署では添付ファイルへのパスワードをかけないなどです。

そういった時に取得していない部署の人に「なぜパスワードをかけないのですか?」と質問すると
「うちの部署はISMSを取得していないからパスワード掛けなくて良いんですよ」と言われる事がありました。

試しに取得している部署の人に「なぜ添付ファイルにパスワードをかけるのですか?」と質問すると
「うちのISMSのルールで決められているから」という回答でした(苦笑)。

そもそもISMSの規格(ISO27001)には添付ファイルをパスワード保護しなさいとは求められていません。
誤送信防止の対策として、会社として添付ファイルのパスワード保護という方法を採用しているのです。

情報セキュリティ対策は会社として「どうやるのか」を決める

「何のために行っているのか?」ということを全員が考えていかないと本当の意味での
情報セキュリティレベルの向上は図れません。
そして、「ISMSだからやっている」「ISMSの範囲じゃないからやらない」ではありません。

会社として情報セキュリティ対策の為にどうすべきかを決めるべきです。

メールの添付ファイルのルールも、部署によってメールの送る内容や宛先などが異なる場合があって
そこを基準に添付ファイルのパスワード保護をするかしないかを分けるのは良いとは思いますが
ISMSの範囲か範囲じゃないかで分けるのは良くないです。

会社として情報セキュリティのルールをどうするか決めて、適切な範囲で運用する。
その後に「それじゃ、審査を受けて認証を取るのはこの範囲ね」とした方が良いと思います。
出来るだけルールは統一しておいた方が良いケースが多いです。

訪問回数制限なしでサポートします。ISMS/ISO27001の認証取得をお考えの方はこちら訪問回数制限なしでサポートします。ISMS/ISO27001の認証取得をお考えの方はこちら 情報セキュリティに関する最新情報を随時配信中。最新トピックやよくある事故事例など、役立つ情報が満載です。
このエントリーをはてなブックマークに追加 LINEで送る

「ISMSの範囲外だからルール外」は良くありません

ISMSは取得範囲を選択できる

ISMSを取得する場合は、会社の「どの範囲」でISMSを取得するかを決めていきます。
Pマークは必ず全社で取得しなければなりませんがISMSの場合は事業所単位や部署単位で
取得の範囲を選択することが出来ます。

全社取得でなく部分取得をした場合に起こる良くないケースとして
ISMSの取得部分と未取得部分でルールが全く違うことがあります。

メールの添付ファイルに関する例

ISMSを取得する部署だけ、メールで添付ファイルを送信する際にはパスワードをかけるけど
ISMSを取得しない部署では添付ファイルへのパスワードをかけないなどです。

そういった時に取得していない部署の人に「なぜパスワードをかけないのですか?」と質問すると
「うちの部署はISMSを取得していないからパスワード掛けなくて良いんですよ」と言われる事がありました。

試しに取得している部署の人に「なぜ添付ファイルにパスワードをかけるのですか?」と質問すると
「うちのISMSのルールで決められているから」という回答でした(苦笑)。

そもそもISMSの規格(ISO27001)には添付ファイルをパスワード保護しなさいとは求められていません。
誤送信防止の対策として、会社として添付ファイルのパスワード保護という方法を採用しているのです。

情報セキュリティ対策は会社として「どうやるのか」を決める

「何のために行っているのか?」ということを全員が考えていかないと本当の意味での
情報セキュリティレベルの向上は図れません。
そして、「ISMSだからやっている」「ISMSの範囲じゃないからやらない」ではありません。

会社として情報セキュリティ対策の為にどうすべきかを決めるべきです。

メールの添付ファイルのルールも、部署によってメールの送る内容や宛先などが異なる場合があって
そこを基準に添付ファイルのパスワード保護をするかしないかを分けるのは良いとは思いますが
ISMSの範囲か範囲じゃないかで分けるのは良くないです。

会社として情報セキュリティのルールをどうするか決めて、適切な範囲で運用する。
その後に「それじゃ、審査を受けて認証を取るのはこの範囲ね」とした方が良いと思います。
出来るだけルールは統一しておいた方が良いケースが多いです。

Author: 幸松 哲也
  • はてなブックマークに追加
  • ツイートする
  • facebookでシェアする
  • google+に追加
  • LINEでシェアする

訪問回数制限なしでサポートします。ISMS/ISO27001の認証取得をお考えの方はこちら

情報セキュリティに関する最新情報を随時配信中。メールマガジン登録(無料)