|
|
|
一般的にセキュリティとは利便性と相反するものです。例えばある重要書類がある場所に保管されているとします。その保管場所に鍵がかかっていなければ、誰でもその書類を必要な時にすぐ取り出せて便利ではあるけれども、盗まれる可能性が高くなります。鍵をかければ盗まれる危険性は低くなりますが、誰かが鍵を管理しなければならないし、必要な時にいちいちその鍵を借りに行かなければなりません。
この際問題となるのは、その書類がどの程度重要なものなのかということと、どの程度盗まれるリスクがあり、また盗まれた場合どの程度影響があるかということです。こうしたことはリスクアセスメントにより適切に判断されなければなりません。闇雲にあまり重要でない情報資産までいろいろな管理策でがちがちに保護したり、重要な情報資産であったとしてもほとんど起こり得ない事態を想定して管理したりしても効率が悪いばかりです。
|
|
|
またコストとのバランスも考える必要があります。
あまり重要でない情報資産を保護したり、ほとんど起こり得ないリスクを回避したり
するために高いコストをかけるのは効率が良くありません。
そして、事業の継続ということが前提ですので、いくら重要な情報資産を保護するためでも、
経営に支障をきたすほど高いコストをかけてしまっては、本末転倒です。
|
|
|
適切なリスクアセスメントが成功への鍵であるとも言えますが、その結果、様々な管理策が
採択されることになります。ここで重要なのは、一つの管理策を実施することによって、
あるリスクを100%防ごうという考え方は排除しなければならないということです。管理策は
複合的に採用することにより効果的にリスクを低減するべきであり、物、環境、技術、人、
制度など多面的に対処するべきであることを忘れてはならない。前述の例で言えば、重要
書類の保管場所に鍵をかけるという物理的管理策だけでなく、その書類の取扱いについて
従業員を教育したり鍵の管理規定を作るなど、人や制度の面から管理策を実施することも
可能です。
|
|
|
リスクに関してもう一つ念頭に置かなければならないのは、どんなリスクも100%防ぐという
のは不可能に近いということです。100%を求めると身動きできなくなってしまうので、あくま
でリスクの低減を目指すのが賢明です。実際に管理策を運用する段になると、社内から
「そんなことをしても100%防げるわけではないから、やっても意味がないではないか」
という声が聞かれるかもしれません。こうした折には、以上のような説明を行い、理解と
協力を得るよう努めなければなりません。
|
|
★ ISMS用語
★ ISO27001(ISMS)認証取得支援コンサルティング「8ヶ月プラン」の概要はこちら
★ ISO27001認証取得コンサルタントの活用法
|
|
|
「お問い合わせフォーム」でのお問い合わせはこちら
|
|
|
|