2009/09/15
日常語ISO27001 with セキュリティ新事情 ~6.監査
No.223 09.09.14 ◆◆◇◇◆◆◇◇◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆ 日常語:ISO27001 with 情報セキュリティ新事情 ◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◇◇◆◆◇◇◆◆ 三菱UFJ証券から、内部犯行によって名簿業者へ流出した顧客情報です が、各種勧誘にかなり価値の高い情報だったにもかかわらず、結局33万円 にしかならなかったのだそうです。 おそらく、名簿を持っている側から持ちかけた為に足下を見られたので しょうね。そんな値段でしか個人情報が売れないならば、これほどまでに ”情報車上荒らし”が多いわけがありません。 ともかくも、この事実は内部犯による名簿泥棒を防ぐ事に利用できるかも しれません。「新たに開設した株式取引口座情報」という利用価値が高そう な名簿情報が5万件あって、複数の名簿業者に売って、なおたったの33万 円にしかならない。これを知っていれば、危ない橋を渡って盗み出そうと 考える人は減るでしょう。事件の犯人も、300万円の借金を埋め合わせて余り あるだろうと考えて犯行に及んだのでした。 では、223号 ★情報セキュリティ新事情------------------------ これまでは、外へ持ち出した際に紛失する事が多かったUSBメモリです が、校内・庁内・院内で紛失するケースが増えてきました。 それだけ狙わ れているという事なのだろうと思われるのですが、構内なのにそんなにUS Bメモリが使われているという事が筆者には理解出来ません。 どうやら、構内にファイルサーバが置かれていないという事情によるもの なのだと考えるほかにはなさそうです。あまりに当たり前の事なので、この コーナーでは紹介しないで来たのですが、ファイルサーバ設置の必要性を 紹介した方が良い様です。 ファイルサーバは、一つのコンピュータの電源を入れっぱなしにして、 そのコンピュータを電子ファイルの保管専用に使うものです。それによって、 各々のPC上に置かれている電子ファイルや、USBメモリ、外付けHDD を一掃出来ますので、物理的に管理するゲンブツを一つにまとめる事が出来 ます。 現代のオフィスでは、少なくともインターネット接続の為にLANが施設 されているでしょうから、LANを通して各PCからファイルサーバ上の データを使う事が出来ます。使い勝手は向上してもほぼ低下する事はないで しょう。 逆に、もしファイルサーバを設置しなければ、情報セキュリティを保とう とするとたくさんの情報メディアや個々のPCが管理対象になってしまい ますので、非常に煩雑な管理をしなければならなくなります。その上情報 セキュリティのレベルは、どうやってもたいして上がりません。情報を紛失 してしまう機会が多くなりすぎます。まともな情報管理をしようとしたら、 一つにまとめる他ないのです。 一つにまとまっていれば、厳重に鍵をかけて物理的に盗まれる事を防ぐ事 も出来ますし、アクセス管理(誰に許して誰に許さないか)という事も出来 ますし、アクセス記録を取る事も可能になりますし、バックアップを取る事 も出来ます。データが散らばっていたのでは、バックアップを定期的に取る 事すら現実的には不可能です。 現代オフィスでは、かなり小規模でPCが3台くらいしかない様な場合で も、情報セキュリティを考慮すればファイルサーバを設置するのは必須だと 考える必要があります。 次回は、ファイルサーバの導入法から順に、もう少し詳しく説明しましょ う。 ☆本題のISO27001解説-------------------------- 6. ISMS内部監査 ▼監査の目的 会社は、次の事について前もって決めた(以内の)間隔で、ISMSについて監査 を行って下さい。 ▽ISMSの出来具合 a)ISMSが、ISO27001に合っているかどうか。 b)ISMSが、法律などの規制にあっているかどうか。 c)また、ISO27001以外にもISMSを作り上げる時に基本としたものがあるな ら、その基本とした事にISMSが合っているかどうか。 ▽ISMSの実施状況 d)ISMSが、社内でちゃんと守られていて、効果が出ていて、必要があった ら改められているかどうか。 e)ISMSが、期待したとおりに行われているかどうか。 注:「ISMSについて監査する」という事は、ISMSの『管理目的』、『管理 策』、『仕事の流れ』、『手順』などについて監査する事になります。 ▼(年間)監査プログラム 監査は全社一律の間隔で行うのではなく、その仕事の情報セキュリティ上の 重要さや、これまでの監査の結果を考えて、監査の間隔、年間の監査実施回数、 監査に使う時間などを考えた(年間)プログラムを計画して下さい。もちろん、 このプログラムは計画した通りに実施されて、必要があったら改められなくて はいけません。 【解説】例えば、個人情報を使う仕事、電子商取引に関する仕事、社外から 通信で社内のサーバーにアクセスする仕事をする人や、ネットワークの 仕様を決める部門などは情報セキュリティ的に重要と言えます。このよう な部分や、前回の監査 で問題がたくさん発見されたところは、重点的に 監査する計画にします。 (年間)プログラムは、必ずしも「年間プログラム」でなければなら ないわけではありません。会社内が定期的にまんべんなく、すべてのルー ルに対して監査できる様な計画を指します。 もちろん、年度初めに○月○日○時から、どこそこの部署の××のルー ルについての監査を行う、と計画しても都合が悪くなるケースがたくさん 出るに決まっていますから、○月頃どこそのこの部署あるいは何のルール について監査するという程度に決まっていれば十分でしょう。 ▼監査手順(やり方) この監査は、手順書を作ってその通り行われる様にして下さい。手順書は 必要な場合には改めて下さい。その”監査のやり方”には、下の事までは決め ておいて下さい。 a)監査の計画をしたり、実際に行う事の責任者や、どうやって行うかと いうやり方 b)監査の報告をする責任者や、どうやって報告するかというやり方 c)監査の記録の保管の責任者や、どうやって保管するかというやり方 d)監査の基準 e)監査をする範囲 f)監査の頻度(年間の実施回数、監査の間隔など) ▼監査がなれ合いにならない様に 監査員が見つけた不具合を握りつぶしてしまったり、「見なかった事にして おく」という様なことにしてしまったり、監査員が頭が上がらない人の監査を することになってしまったのでは、監査の効果があがりません。誰が社内の どこを監査するのか決めるときや、実際に監査をするときには、公平に監査 されるようにして下さい。少なくとも監査員は、自分の担当した仕事を監査し てはいけません。 ▼監査で発見された問題点 内部監査で発見された問題点は、次のようにして下さい。 a)監査を受けた範囲の責任者が責任を持って、確実に、なるべく早く 1)問題がないようにする。 2)問題がまた起きないようにする(根本解決する) b)遅くともマネジメントレビューの機会までに、 1)問題点に対して、どんな事をしたか 2)その結果どうなったか を社長さん達に報告する。 ------------------------------------ マネジメント改善研究所は、雇用安定助成金対象教育を幅広く用意して 提供しています。 ------------------------------------ 日常語:ISO27001は「ISOで小難しい言葉を使わない運動」を強く推進して います。 日常語:ISO27001は、ISO27001の日常語日本語訳です。JIS Q 27001の日常語 変換版ではありません。 日常語:ISO27001は、うちわ(社内など)で利用頂いて結構ですが、印刷物・Web などの多数へ配布する媒体に無断で引用するのはご遠慮下さい。 尚「情報セキュリティ新事情」は、無断でない限りかなり広範囲に許諾する つもりです。 ご質問、ご意見、ご相談、政権交代は大歓迎です。 他の項目の解説は: http://www.kiriishi.net/7799/top.htm バックナンバーは: 新事情インデックスからご利用下さい。 情報セキュリティ新事情インデックスは: http://www.kiriishi.net/7799/jijo.htm マネジメント改善研究所ホームページ: http://www.kiriishi.net/ メールマガジンの登録・解除は: http://www.kiriishi.net/7799/mag2.htm 環境版メルマガは: http://www.kiriishi.net/14001/mag2.htm ご意見、ご感想、ご質問は: info3@kiriishi.net ○発行 マネジメント改善研究所 ○編集 切石 庄之介 Copyright マネジメント改善研究所 マネジメント改善研究所は、石川県金沢市にあります。 大雨で電車が止まらなければ、編集人自ら全国に出張可能です。 ここまで
