メルマガコラム - 現場のセキュリティ対策 - TBCソリューションズ

tbcソリューションズ
tbcソリューションズの実績

最大50%OFFが可能!! 割引制度割引制度詳細    サポーター会員なら受講料がお得サポーター会員詳細

現場のセキュリティ対策

A.6 情報セキュリティのための組織(1)

『情報セキュリティのための組織』って、何のことですか?
こんな質問が出てきそうな見出しですが、A.6の管理策はISMSの確実な取組みのために組織の情報セキュリティ面での体制を整えるためのものとお考えいただくと、イメージしやすくなるでしょう。この体制を整えることは、日常業務においても同様で、何か取組みを行う際に、いの一番に決めなければならないことだと思います。
体制が整わなければ、その取組みが上手く進まない、何をしていいのかわからない等々の問題が噴出し、その取組みは失敗に終わってしまうでしょう。そんなことから、ISMSの取組みでも、先のA.5で取り決めた方針群(ルール)を確実に運用するための、情報セキュリティのための体制を整えていきます。

 

■管理目的「A.6内部組織」
ここでは、前述の体制を整えるものとして、情報セキュリティの取組みを統制するための管理の枠組みを決めるもの、とその目的を定義しています。このためにA.6.1.1~A.6.1.5までの管理策が求められています。

 

□管理策「A.6.1.1情報セキュリティの役割及び責任」
ここでは、ISMSを有効かつ効果的なものとするために、情報セキュリティの取組みにおける役割と、その役割ごとの責任及び権限を整備します。ISO/IEC 27001では、5.3a)、b)、6.1.3f)、A.8.1.2に、リスク所有者や資産の管理責任者等の必要な役割、責任及び権限が明確にされています。これらは必ず満たす必要がありますし、この他には、組織の規模や体制、外部及び内部の環境等を考慮して決めていきます。本管理策のキーワードは、“すべての情報セキュリティの責任を定め”です。
ISMSの運用をどの部門が主管するのか、情報セキュリティ上の問題が発生した際にはどのように対応するのか等々、通常の状態だけではなく情報セキュリティ事象やインシデントが発生した際の対応も考慮したうえで体制を整備していく必要があります。

 

□管理策「A.6.1.2職務の分離」
ここでは、本管理策の記述の通り“資産に対して認可されていな若しくは意図しない変更又は不正使用の危険性を低減するため”に職務、責任及び権限を分離することが求められています。例えば、あまり考えたくはありませんが、作業の実施者と認可者が同じ人では不正の危険性があります。(性悪説の考えに基づきます。。。)過去に、 組合保険の管理を一人で行っている団体で、その一人が数億円という保険金を不正使用したという事件がありましたが、これは職務の分離に関する典型的な事件といえるでしょう。
組織には、様々な許可や承認手続きがあると思いますが、これらの手続きも職務の分離のひとつの対策です。全ての情報セキュリティ対策にいえることですが、職務の分離を徹底するほどに業務効率は著しく低下する傾向にあります。可用性も十分に考慮した職務の分離が重要といえるでしょう。

 

A.6の後半、A.6.1.3~6.1.5は次回にお話いたします。
このお話が皆さんの取組みの再確認にご活用いただければと思います。

【無料】TBCSメールマガジン

「TBCソリューションズ メールマガジン【無料】」は最新の研修・セミナー情報や、コンサルタントによるISO規格の解説情報、コンサルタント コラムやお得なキャンペーン情報や割引制度などをお届けするメールサービスです。
登録したメールマガジンは、すべて【無料】でご覧いただけます。

【TBCSメールマガジン(無料)の登録】

お問い合せ先

お問い合せはこちら 03-5259-7181 電話での受付時間:平日9:00~18:00 お問い合せ

このページのトップへ