2009/03/09
日常語ISO27001 with セキュリティ新事情 ~4.2.1ab
No.207 09.03.09 ◆◆◇◇◆◆◇◇◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆ 日常語:ISO27001 with 情報セキュリティ新事情 ◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◇◇◆◆◇◇◆◆ 筆者の寄稿した記事が掲載された月刊ISOSが発刊されました。購読さ れていないメルマガ読者も多いことでしょうが、当メルマガで繰り返し述べ ている事がまとまっているだけです。1回目は「情報セキュリティ事件は 社外で起きている事の方が断然多いから、不要な持ち出しはしない様に」と いうお話しでした。 メルマガ上で「クルマの中にカバンやPCを置いてあると、窓を割って 持って行かれる」と繰り返しているせいか、「カバンは座布団や衣服で隠し て」クルマを離れるなど、何かしている例も増えて来た様ですね。 しかし、やはりその程度では対策になっていない様です。先日伝えられて いた車上荒らしでは、「カバンは衣服でくるんで隠していたのに」窓ガラス を割られて盗られていました。その程度では、泥棒から見たら「隠している」 うちに入らないのでしょう。クルマは金庫代わりにはなりません。やはり、 大切な物は持って出ましょう。 では、207号。 ★情報セキュリティ新事情−−−−−−−−−−−−−−−−−−−−−−−− 法律上「情報」は財物扱いされていない為に、盗んだ犯人を裁くことや 損害賠償請求をする事が難しいというのは何回か伝えています。唯一「不正 競争防止法」が認める「営業秘密」だけが、かろうじて保護されていますが 非常に限定的です(64号)。(バックナンバーは新事情INDEXから: http://www.kiriishi.net/7799/jijo.htm) 法務省が「情報」の扱い方を変えてくれないので、このたび経産省では 「不正競争防止法」の改正案を国会に提出して、保護する対象を広げるよう に図りました。この案に野党が反対することはないと思われますので、国会 の会期末までには成立、1年後に施行される見通しです。紹介しておきま しょう。(http://www.meti.go.jp/press/20090227001/20090227001.html) 1.「営業秘密」である為に求められることは、変更されません。これまで 通り、「営業上有用である事」「『秘密』として管理されている事(社外秘 ではダメ)」「一般に知られていない情報である事(知られている事をまとめ たモノはダメ)」のどれかが欠けていたら、不正競争防止法は保護しません。 2.いままで「不正の競争の為に」という目的でなければ違法とされていな かったのは、拡大される事になります。例えば、顧客名簿を持ち出して競合 他者に譲ったり、自分で同種の事業を始めてそこで使ったら違法でしたが、 名簿業者に売っても違法とするのは難しかったのです。 これは「不正の利益を得る」又は「保有者に損害を与える」目的という様 に拡大されます。名簿業者に売ったり、わざとWinnyネットへ流出させて 信用を失わせるという事も違法になる様になります。 3.いままでは、盗み出した『営業秘密』を「使用したり誰かに教えたり」 する事だけが違法とされていました。「秘密を持ち出す」だけでは、全く 違法ではなかったのです。 しかし盗み出した情報の「使用」は、盗み出した側の社内で行われるのが 普通です。盗み出された顧客名簿でDMでも送っていれば証拠になりますが、 他の方法で利用していたとしてもその証拠を押さえるのはあまりにも困難で した。 ここは営業秘密を「横領する(盗み出す)」事「不正にコピーする」事、 また業務上の必要で既に持っていたコピーを「返却又は消去しない」事も 違法な行為として取り扱われるようになります。 情報セキュリティを保護する立場としては、不足ながらも歓迎出来る改正 です。もっとも、今までの法律による保護が薄すぎだと言えるでしょう。 注意:厳密にどの様な案であるのかは、経産省の発表をご覧下さい。また、 これは法律案であって、国会の議決を経ていません。今後修正される可能 性がありますので、ご注意下さい。 ☆本題のISO27001解説−−−−−−−−−−−−−−−−−−−−−−−−−− 4.2.1a) (適用範囲) 会社は、ISMSの適用範囲(決めたISMSの通りに行う範囲)と境界をハッキリ 決めて下さい。 ハッキリさせるためには、以下の事を参考にして下さい。 ・いくつもの事業をやっているならどの事業に適用するのか ・分社化しているなら、どの会社(名義の分)に適用するのか ・事業所がいくつもあるのなら、どこの事業所に適用するのか ・ある種類の情報資産だけに適用したいなら、どんな情報資産に適用するのか ・ある技術を用いた情報資産にだけ適用したいなら、その技術 ある部分の「一部を除く」という様な適用範囲にしたい時には、1.2項を参照 しながら、除く範囲もハッキリさせておいて下さい。 【解説】会社の部署あるいは、事業所によって情報の取扱の方法が変わると 混乱します。また、ISMSの適用範囲から適用範囲外への社内の情報流出を いちいち問題にしなければならなくなる事も避けたいものです。特別の事情 がない限り、「全社の全情報資産」とした方が健康的なISMSが組み立てられ ますし、運用は単純で済みます。 【解説】ISMSの適用範囲は、情報セキュリティポリシーに書いて定める事が 多いです。 4.2.1b) (情報セキュリティポリシー) 会社は、『情報セキュリティポリシー(方針)』を定めて下さい。もちろん、 そのポリシーは定めた適用範囲の事業の内容、会社、事業所、情報資産の種類、 技術にふさわしくなければなりません。また、そのポリシーは、以下の様に なるように定めて下さい。 1.情報セキュリティについて、どこまでのレベルを目指すのかという事を 決めるための考え方が書かれている。 2.情報セキュリティについて、どんな事をしなければならないかという 原則が書かれている。 3.会社の仕事上、必ずやらなければならない事が考えに入っている。 4.法律的に、必ずやらなければならない事が考えに入っている。 5.お客さんとの約束(契約)上、必ずやらなければならない事が考えに 入っている。 6.情報セキュリティ面を総合的に見て、会社が置かれている状態や、既に 行っている取り組みとチグハグになっていない。 7.リスクを評価する時にどんなランクにするかという基準が書かれている。 8.リスクアセスメントの行い方のあらましが書かれている。 情報セキュリティポリシーは、社長さんに承認してもらっていなければなり ません。 【解説】6.「総合的に見て、会社が置かれている状態」とは、例えば ・会社はどんな情報を取り扱っていて、どれくらい大切なのかという事 ・会社にはどんな情報機器があって、どんな処理をしているのかという事 ・会社のネットワークはどんな様子になっているのかという事 ・会社の拠点間通信や、外出先からの社内ネットワークへのアクセスは どうしているのかという事 ・公開しているサーバーにはどの様なものがあって、社内ネットワークと の関係はどうなっているのかという事 などが考えられます。但し、「結果的にこの様にやっているが、何か考え があってやっているわけではない」様な事まで考える必要はありません。 −−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−− 1月末にWebサーバを移転しました。不具合を発見された方はご連絡下さい。 日常語:ISO27001は「ISOで小難しい言葉を使わない運動」を強く推進して います。 日常語:ISO27001は、ISO27001の日常語日本語訳です。JIS Q 27001の日常語 変換版ではありません。 日常語:ISO27001は、うちわ(社内など)で利用頂いて結構ですが、印刷物・Web などの多数へ配布する媒体に無断で引用するのはご遠慮下さい。 尚「情報セキュリティ新事情」は、無断でない限りかなり広範囲に許諾する つもりです。 ご質問、ご意見、ご相談、衆議院早期解散は大歓迎です。 他の項目の解説は: http://www.kiriishi.net/7799/top.htm バックナンバーは: 新事情インデックスからご利用下さい。 情報セキュリティ新事情インデックスは: http://www.kiriishi.net/7799/jijo.htm マネジメント改善研究所ホームページ: http://www.kiriishi.net/ メールマガジンの登録・解除は: http://www.kiriishi.net/7799/mag2.htm 環境版メルマガは: http://www.kiriishi.net/14001/mag2.htm ご意見、ご感想、ご質問は: info3@kiriishi.net ○発行 マネジメント改善研究所 ○編集 切石 庄之介 Copyright マネジメント改善研究所 マネジメント改善研究所は、石川県金沢市にあります。 雪で電車が止まらなければ、編集人自ら全国に出張可能です。 ここまで
