毎月のようにセキュリティ事故が起きている現代社会。
私たち一人一人が情報資産を守る方法にはどうすればいいのか?
主に下記2つがあるとされています。
【1】技術的に守る
→ セキュリティソフトやファイアウォール、暗号化など。
これは映画などから想像しやすいですね。
【2】組織的に守る
→ 情報セキュリティポリシーの策定によるルールや仕組み作りなど。
これはパッと思い浮かばない人の方が多いのではないでしょうか。
では組織としてはどうでしょうか。
組織として情報セキュリティの目標を達成するための仕組みとして、ISMSがあります。
まずはISMSについてご紹介していきます。
情報セキュリティマネジメントシステムとは?(ISMS:Information Security Management System)
組織全体で体系的に情報セキュリティ対策に取り組み、下記【1】~【4】のPDCAサイクルを回し、継続的に改善していく仕組みを指します。
【1】Plan:現状を踏まえ、情報セキュリティ対策の計画を策定
↓
【2】Do:【1】の計画に基づいて対策の導入・運用を行う
↓
【3】Check:【2】の実施結果の監視を行う
↓
【4】Act:【3】を分析し、改善処置を行う
情報セキュリティマネジメントシステムをゼロから構築するのは大変な労力がかかります。
また、会社の規模や状況ごとに、目標も異なるため、会社間での認識にも相違が出てきます。
そこで情報セキュリティマネジメントシステムを構築する基準として、国際標準化機構が発行する「国際規格」を用いており、ISMSも「ISO27001」という国際規格となります。
- JIS Q 27001(ISO/IEC27001):ISMSの構築方法や要求事項が記載されています。
- JIS Q 27002(ISO/IEC27002):ISMSの実践規範が記載されています。
Photo by Giu Vicente on Unsplash
組織全体で取り組むためのハードルは?
「情報セキュリティを意識してください!」
と啓蒙活動を実施しても、
「…( ゚Д゚)ハァ !?」
と、ピンとこない人たちも多いのが現実です。
例えば、カード情報についてスマホの写メで撮影して
LINEで送りつけてしまう人。
当然、悪気もなく、情報セキュリティに疎い人にとっては、これが普通なのです。
このような方はまだまだ組織に沢山います。
これからの時代、そういった方々を丁寧に先導していける
情報セキュリティ知識があって優しい社員が重宝されていくのは間違いありません。
これらの現状を踏まえ、社会人として情報セキュリティ知識やISMSについても勉強しておくと、上長や役員から「こいつ・・わかってるな」と思われ、出世には有利に働くことは言うまでもないでしょう。
是非、情報セキュリティについて日々アンテナを張ってみてくださいね。
最後までお読みいただきありがとうございました。
Photo by rawpixel.com on Unsplash
