|
**ニッコン e-建設経営通信 【第174号】**
■ Question
ISMS(情報セキュリティマネジメントシステム)はISO9001やISO14001と同じPDCAモデルに基づいているということですが、どちらかの認証登録をしているとそれが活用できますか。
■ Answer
ISMS(情報セキュリティマネジメントシステム)はBS7799がベースになっていて、ISO9001がBS5750、ISO14001がBS7750をベースとしています。
ISMSは情報セキュリティが対象で、ISO9001は品質・顧客満足、ISO14001は環境が対象で、それぞれの規格の対象は異なるが、同じPDCAモデルに基づく共通部分をもったマネジメントシステムです。
ISMS認証基準は、JIS Q 9001:2000「品質マネジメントシステム-要求事項」が引用規格になっており、他の規格の認証登録をしている企業は、共通して活用できる部分(例えば、教育訓練、文書管理、記録の管理、内部監査、マネジメントレビュー、是正処置・予防処置など)があります。これは、ISO9001とISO14001の統合と同様です。
ISMSの構築の段階では、ISO14001の方が参考になります。ISO14001の環境レビューと同様な手順で、情報資産を洗い出し、リスクアセスメントを行い、取組みの優先順位をつける。ISO14001の「緊急事態への準備及び対応」も、情報セキュリティの準備及び事故の手順作成として応用することができます。
一方、実施すべき情報セキュリティ対策を現場に落とし込むには、ISO9001のプロセス・アプローチの考え方が参考になります。事業活動の流れの中で情報は漏えいするのだから、事業活動のフローの中に、守るべきルールを手順に落とし込むことが必要になります。ISO9001で策定した手順(プロセス)に情報セキュリティの対策のポイントも入れると良いです。
規格の策定では、相互の整合性に配慮されています。対象の異なる規格を採用した場合に、それぞれが別々に構築するのではなく、使いやすいように統合されることを意図しています。別々に同じような規定があれば、使う人は両方を見なければならないし(実際には相互を参照することは少ないだろう)、時間と共に整合性がとれなくなり混乱してきます。
運用する人の立場を考慮してシステムは構築すべきであり、運用する人が理解しにくいシステムであれば、うまくいかないのは当然の結果です。既存の文書と統合して活用できるところは活用し、シンプルになるように構築することが肝要です。
|