リスクアセスメント
ISMSの認証取得を目指す場合は、手順を踏む必要がありますが、今回は参考になるエッセンスだけを見ていきましょう。まず最初にリスクアセスメントです。御社にある情報資産を把握していますか?
と聞かれた時に、すぐに答えられますか。
例えば各部門が独自に導入したノートパソコンなども一元管理されていますか。
中にはきっちり一覧表などをまとめている企業もあると思いますが、情報についてはどうでしょうか。例えば取引先情報はどこにありますか?
営業部のパソコンの中?
いえいえ、データベースの中だけではなく打ち出した請求書や領収書、また営業マンに持たせているPDAや携帯電話の中にも入っているはずです。
どうです、けっこう色々なところにあるでしょう。
まずは保護すべき情報資産(データ、情報、ソフトウエア、ハードウエアなどの資産)を洗い出していきます。これが情報の財産目録になります。
では、次にどんなリスクが考えられるでしょうか。
例えば、漏洩や紛失、火事、改変などです。洗い出した情報資産それぞれに従って想定されるリスクを考えます。この作業が一番大変になります。情報資産価値が高いと判断したものから順に検討していくとよいでしょう。
また情報資産を洗い出すときに、誰が責任者かも明確にしましょう。資産ですので責任をもって管理できる管理者が必要です。
記録を残す
情報資産とリスクの洗い出しが終わったら、対策を決めていきます。
サーバー室への入退室管理、情報へのアクセス制限、また守秘義務契約を結んで外部にアウトソーシングしてしまい、リスクを移転する方法もあります。
また社員向けにガイドラインを作成したり、教育を行うことも大切です。情報漏洩時の賠償をリスクヘッジするためにネット保険に入る対策もあります。
重要なのは対策を決めたら、それを手順化し、記録として残すことです。
例えばチェックシートなどを作り、確認作業をシートに従って行い、それを記録として残します。また定着するまで時間がかかりますので、常に意識付けが必要です。
取引拡大の道具に
個人情報を扱っている企業で情報漏洩や外部からの不正進入を許せば、信用問題となってしまいます。反対にしっかりやっていれば、それを強みとしてアピールすることができます。発注側もこの企業に情報を渡して大丈夫かなと危惧する時代です。
当社ではリスクアセスメントを行い、こういう対策を行っているとアピールできれば、信用を勝ち取り、受注につなげることができます。
関連ガイド記事
・アナタの個人情報、守られてる?・合言葉は「個人情報を大切に!」
