2009/06/09
日常語ISO27001 with セキュリティ新事情 ~4.3.2文書の管理
No.216 09.06.08 ◆◆◇◇◆◆◇◇◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆ 日常語:ISO27001 with 情報セキュリティ新事情 ◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◇◇◆◆◇◇◆◆ 石川県庁で起きていたソフトウェアの違法コピー問題は、4000万円の和解 金で概ね決着する見込みです。ソフトウェアの定価よりも余計に払う分の、 1300万円余りは違反をしていた職員に負担を求める方向だとの事ですが、 「タダだと思ってインストールしてあったPCがあるに違いなく、残りの 2600万円もかなりの部分が無駄な支出なのではないか」と言われていま す。 大口契約をすれば市価よりもやや安く買える事も考えれば、定価で支払わ されるだけでも無駄な支出ですね。ともかく、『違法コピーがバレると5割 増で支払わされる』という教訓に致しましょう。 では、216号。 ★情報セキュリティ新事情−−−−−−−−−−−−−−−−−−−−−−−− 市場のネットワーク機器に見慣れない表示が見かけられる様になって来ま した。「省エネ法の消費電力基準適合」を示す表示です。 経済産業省の試算によりますと、06年のIT機器の消費電力量総計は466億 kWhだったそうです。数が多すぎて、これがどれくらいなのか想像がつきにく いですが、国内の原発1基の最大出力平均が90万kWですから、原発8基分 くらいがIT機器によって消費されている事になります(原発の稼働率は8 割もありませんから、実質10基以上分です)。加えてあくまで経産省の勝手 な予測ですが、2025年のIT消費電力量は2417億kWhになると見込まれます。 世の中でこれだけ「地球温暖化防止の為に省エネ」していて、科学的研究結 果によっては2025年までに8割の温暖化ガス排出削減が必要だと言われてい る中、IT分野だけは5倍ものエネルギー消費になりそうなのです。 そりゃあそうです。昔のPCにはファンなんて付いていた様な記憶があり ません。部品から熱を逃がす為のヒートシンク(放熱板)もせいぜいCPUに しか付いていませんでした。今ではPCのフタを空けると、ヒートシンクや ファンがウジャウジャになっていてわけがわかりません。しかし、どれかの 部品が熱暴走したらPCは使えなくなってしまいますから、気をつけなけれ ばなりません。PCは直射日光の当たらない風通しの良いところに置いて、 ファンの故障に気を遣いながら使いましょう。 話が逸れました。それだけ熱くなるという事は電力の消費が大きくなって いるという事です。PCの定格電力も今ではコタツ並です。また、1台1台 の消費電力が増えているのみならず、台数も増えて行っています。IT分野 の消費電力が飛躍的に増えていくと予想している経産省は、一応これを放置 はしていません。コンピュータ(サーバ/クライアント)とHDDを省エネ 法の特定機器にしています。 「一応」というのは、消費電力基準が処理能力ごとに段階的に決まって いるからです。「ムーアの法則」(156号)にしたがって、コンピュータの処理 能力は概ね18ヶ月毎に2倍に向上して行きますから、このタイプの消費電力 基準があっても、結局は「(一般的な)コンピューターの消費電力は、増え続 ける」事になります。 そのせいか、省エネ法は他のIT機器も対象にする事にしました。それが 「ネットワーク機器」だったわけです。今のところ、BBルータとスイッチ ングハブ(L3を除く)が指定対象になっていて、2010年度にBBルータ、 2011年度にスイッチングハブが基準を満たさなければならない事になって います。既に「省エネ法基準適合」の表示があるという事は、前だおしで 基準を達成できたという事なのですね。 省エネ法の特定機器は、法律の改正がなくてもどんどん増えます(政令に 定められています)。今年も大型ルータやL3スイッチを対象に加える事が が予定されています。資源エネルギー庁では、2020年までに45%の省エネ を目指すのだという事です。 省エネ対応しているという事は、発熱も少なく機器の寿命も長い事が期待 できるでしょうから、選定の際には参考にされる事をお勧めします。但し、 省エネ基準適合機器は適合を表示する事が出来ますが、表示義務はありませ ん。わかりやすい表示がないからと、「基準に適合していない」と勘違い なさいません様に。 ☆本題のISO27001解説−−−−−−−−−−−−−−−−−−−−−−−−−− 4.3.2 文書の管理 会社は、ISMSで使う(書いてある通りに行う事にする)文書は、なくしてしま ったり、汚してしまったり、盗まれたりという事から保護して下さい。また下 のように管理して下さい。ただし、「記録用紙」までは下の管理の仕方で行い ますが、「記録」は下のやりかたではなくて4.3.3項に書いてあるとおりに管理 して下さい。 文書の管理のやり方は、少なくとも下の様なやり方でやる様に手順書(4.3.1 注1)を作って下さい。 ▼承認 a)文書を作ったら、その活動の責任者が「それでよいかどうか」の確認を してから使って下さい。 ▼見直し b)文書は、作った時はそれでよいつもりでも、使ってみたらあまりうまく いかなかったり、時代の移り変わりに合わなくなっていったりしますから、 時々それでよいかどうか見直して下さい。 作り直したら、また「それでよいかどうかの確認(a)項)」をしてから使っ て下さい。 ▼改訂 c)文書を変更したときは、どこが変更されたのかわかる様にしておいて下 さい。文中で取消線や、色文字を使ってあってもよいでしょうし。改訂 履歴がつくられていても良いでしょう。 また、最新版かどうかがわかる様にしておいて下さい。例えば、版番号 や改訂日が書かれているなどの策があります。 ▼配付 d)必要な場所で、その文書を必要とする人誰もが文書の最新版が見られる 様にしておいて下さい(特に不便でない程度で見に行けるところに置いて 下さい)。紙で配られていても、LANに繋がったPCで見られても良いでしょ う。 e)文書の配付は、必要なところにちゃんと配られていて、どこに、いつ、 誰が配ったか分かるといったように、ちゃんと管理して行って下さい。 ”手順書”や”フォーム”といった文書の種類毎に決めた手順に沿って、 ちゃんと配ったり、保管したり、古い文書を回収・廃棄したりしなければ なりません。 【注】”はいふ”は、02年版のJIS訳では”配布”、05年版訳では”配付” とされていますが、厳密には”配付”が正しいと言えるでしょう。尚、 原文は”distribution”で変更ありません。 ▼作成 f)文書はわかりやすく作られていなければなりません。そのためには、 段落構成や見出しを工夫したり、行うことをその順番に書く、必要ならば 図や表を使うなど、して下さい。また、汚れたり、傷んだりして読めない 様な状態でないようになっていなくてはいけません。 さらに、何について決めた文書なのか分かりやすくなっている必要もあ ります。文書タイトルや文書番号を工夫すれば分かりやすくなるでしょう。 【解説】JIS訳では、単に「文書は読みやすく」としか書かれていませんが、 原文では”remain legible”と書かれていますので、「読みやすい状態を 保つ」つまり、時間とともに読みにくくもならないようにしなければなり ません。ISO9001/14001でも同じような事が起きています。 ▼社外文書 g)社外で作られた文書は、どれが社外で作られた文書なのか分かるように しておいて下さい。 【解説】ISO14001:04の様に「社外で作った文書であっても、社内で使う事 にするのなら、どの文書を使う(書いてあるとおりに行う)のかハッキリ させて、使う文書は社内で使う文書と同じ様に必要な場所で見られるよう にしておいて下さい。」という事が言いたかった可能性が高いです。その 様に読み取る事は難しいですが...。 ▼古い文書 h)廃止又は改訂済みの文書を間違って使われないようにしておいて下さい。 その為には、配ってある文書はすぐに回収・廃棄するべきでしょう。捨て られない事情があるのなら、「廃止済み」や「改訂済みの旧版」だという事 が一目で分かるようにしておかなければなりません。 −−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−− マネジメント改善研究所は、雇用安定助成金対象教育を幅広く用意して 提供しています。 −−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−− 日常語:ISO27001は「ISOで小難しい言葉を使わない運動」を強く推進して います。 日常語:ISO27001は、ISO27001の日常語日本語訳です。JIS Q 27001の日常語 変換版ではありません。 日常語:ISO27001は、うちわ(社内など)で利用頂いて結構ですが、印刷物・Web などの多数へ配布する媒体に無断で引用するのはご遠慮下さい。 尚「情報セキュリティ新事情」は、無断でない限りかなり広範囲に許諾する つもりです。 ご質問、ご意見、ご相談、衆議院早期解散は大歓迎です。 他の項目の解説は: http://www.kiriishi.net/7799/top.htm バックナンバーは: 新事情インデックスからご利用下さい。 情報セキュリティ新事情インデックスは: http://www.kiriishi.net/7799/jijo.htm マネジメント改善研究所ホームページ: http://www.kiriishi.net/ メールマガジンの登録・解除は: http://www.kiriishi.net/7799/mag2.htm 環境版メルマガは: http://www.kiriishi.net/14001/mag2.htm ご意見、ご感想、ご質問は: info3@kiriishi.net ○発行 マネジメント改善研究所 ○編集 切石 庄之介 Copyright マネジメント改善研究所 マネジメント改善研究所は、石川県金沢市にあります。 雪で電車が止まらなければ、編集人自ら全国に出張可能です。 ここまで
