2009年08月31日
情報マネージメント部の活動
みなさま、今日で8月も終わりですね。GHCのアイドル「
メアリー・ポンポン」こと、ポン助です!
今日は、はしこちゃん姉ちゃんの代わりにブログを書いてみました。
【執筆に辺り少々緊張気味のメアリー女史】8月27日(木)~28日(金)の丸2日間、広尾の本社オフィスが
ITチーム(正式名称:情報マネージメント部)に占拠されていたようです。
と、はしこ姉ちゃんが教えてくれました。
2日間にもわたり、一体何が行われていたんやろう??と思ったウチは、
お散歩仲間で、且つITチームの1人であるしんちゃんに聞いてみました。
実はこの2日間で、ISO/IEC27001の更新後第1回継続審査が行われていたようです。
そういえば、ウチの会社はISO/IEC27001の認証を取得していると、
さっちゃん(ウチのおかあちゃんです。)が言っていました。
が、このISO/IEC27001とは何なんやろ??と思ったうちは、しんちゃんに詳しく教えてもらいました。
ポン助の疑問「ISO/IEC27001って何?」
ISO/IEC27001の規格とは「情報を様々な脅威から保護し、事業継続性を確実に、事業の損害を最小限に抑え、投資に対するリターンと事業機会を最大化することである」とのこと。(by ISO27002:情報セキュリティマネジメントの規格を導入する際の手引き書)
GHCは2005年に、ISMSの認証を取得したようです。(初回登録日 2005年8月18日 )
ポン助の疑問「ISO/IEC27001認証を取得するメリットは?」
いろいろメリットは挙げられるようですが、一部を教えてもらいました。
・情報の保護
・継続的改善
・第三者による検証
などが挙げられるようです。
・情報の保護について
保護すべき情報資産に対するリスクを識別するためにリスクアセスメントを実施。
情報セキュリティマネージメントシステムにおいて、このリスクアセスメントが非常に重要な作業であり、
リスクアセスメントによって潜在的なリスクが特定できたら、そのリスクへの対応策を決定。
この対応策としては4つのアプローチがあり、その4つとは、リスクの軽減・受容・回避・移転。
(ポン助)ん~この段階でかなり難しくなってきたので、しんちゃんにウチでも分かる具体例の説明をお願いしました。
例:お散歩中にポン助が逃げ出してしまい、行方不明になってしまう
(ポン助)ちなみに、ウチは良い娘なので、逃げ出したりはしませんが!!!
★リスクの軽減:管理策を策定し、リスクの発生確率の低減する
首輪が経年劣化等で切れてしまう可能性があるので、首輪の交換ルールの策定(1年に一回交換)や、首輪の定期的なチェックを行う。
(ポン助)なるほど、首輪に関するルール等は決まっていませんでした。首輪が切れちゃう可能性は確かにありますね。
★リスクの受容:受容できるリスク基準定め、その基準を満たす場合はリスクを受け入れる
ポン助は、かなり賢いのでお散歩途中で逃げ出したとしても必ず家に帰ってくると判断。
(ポン助)確かにウチは、おうちまでの道のりを完璧に覚えています。
★リスクの回避:リスクの発生可能性を完全になくしてしまう。
お散歩中に逃げ出さないように、お散歩を禁止する。
(ポン助)それは、ウチ的には認められません!! NO OSANPO, NO LIFE!!
★リスクの移転:お散歩を
ペットシッターなどの専門家に外部委託する。
(ポン助)ウチは知らない人とは、お散歩出来ません!!(実はシャイなので)
お散歩を例にしてくれたので、少しはわかった気がします。
しかし、お散歩ひとつとっても、いろいろある事がわかりました。セキュリティに関するリスクは、更にいっぱいありそうですね。
そして、しんちゃんからリスクアセスメントの話を聞いていると、何度も「是正処置」と言っていました。
(しんちゃん)
一般的に表現されている是正処置には、実は2つの意味があります。
1つは「不適合の除去」、そしてもう一つは「不適合の原因の除去」です。
「不適合の除去」はあくまでも応急処置であり、「不適合の原因の除去」は恒久的な再発防止策です。
その場限りの対策ではなく、根本的な原因を取り除くのがマネージメント上、たいへん重要なのです。
(ポン助)ふむふむ、何が原因なのかを分析して、その原因を取り除くのが大切なのですね。
(ポン助)このあたりで、ウチはギブアップしてしまいましたが、普段あまり意識しない分野の話で難しかったですが、勉強になりました。
以下、しんちゃんからの伝言です。
==============================================================================
弊社は、従前よりお客様の重要な情報を取り扱う事業者の当然の責務として、
情報セキュリティ対策を重要な経営課題として取り組んでおり、日々の管理と継続的改善に努めています。
第三者による検証も、改善の機会として非常に良いものだと感じますので、
皆様も定期的にセキュリティ対策のチェックを実施されては如何でしょうか。
==============================================================================
(ポン助)また機会があったら、ISO/IEC27001について教えてもらおうと思います。
メアリー・ポンポン
【審査の様子を視察するメアリー女史】—–
広報部 |
|
事例やコラム、お役立ち資料などのウェブコンテンツのほか、チラシやパンフレットなどを作成。一般紙や専門誌への寄稿、プレスリリース配信、メディア対応、各種イベント運営などを担当する。
|