日常語:ISO27001 with 情報セキュリティ新事情  RSSを登録する

「結局ISO語で書かれていて分かりにくい!」と評判のISO27001(元BS7799-2)を、1項位ずつ順繰りに平易な日本語に直して(口語訳)解説を届けます。初心者歓迎!おまけに情報セキュリティ新事情も掲載。

最新号をメルマガでお届けします    
登録 解除

規約に同意して

登録した方には、まぐまぐの公式メルマガ(無料)をお届けします。
2009/09/28

日常語ISO27001 with セキュリティ新事情 ~7.1 マネジメント活動の見直し

No.224                       09.09.28
◆◆◇◇◆◆◇◇◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

 日常語:ISO27001 with 情報セキュリティ新事情

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◇◇◆◆◇◇◆◆


  Windows7の発売が、10月22日に迫って来ました。これに向けて、販売
 サイドも盛り上がっています。9月25日には、マイクロソフトでも予約を
 受付始めました。

  それに対して、結局Windows Vistaは07年1月30日に発売されたものの、
 普及しないまま3年近くが経過し、そのまま旧バージョンになろうとして
 います。それを裏付ける調査が、「日本情報システムユーザー協会」によっ
 て行われています。(昨年10~11月実施、今年4月発表)

  それによると、”Vistaの導入が1台もない”という企業が58%、”Vista
 の導入は20%未満”という企業が96%でした。通常のPC買い替えサイクル
 から考えると、どうみてもVista発売後にXpを購入していた様です。

  それはともかく、”Windows95,98,Meを利用している”企業が58%もあり
 ます。サーバOSも”WindowsNTを利用している”企業が36%もあって、これら
 のセキュリティアップデートさえ提供されなくなっているOSが世間に残り
 過ぎである現状が見て取れます。安全が底抜けしているPCがそんなにも
 世間にあるとは少々意外でした。

  未だに86%の利用企業があるWindows2000は来年の7月13日に、100%の
 企業が利用しているXpは2014年4月8日に、セキュリティアップデートも
 提供されなくなります。尚、VistaのHome Basic, Home Premium, Ultimemate
 は家庭用ですので、延長サポート(新しい機能は提供されないが、セキュリ
 ティだけはサポートされる期間)が提供されません。サポート期限は、Xp
 よりも短い2012年4月10日までとなっています。ご注意下さい。

  では、224号。


★情報セキュリティ新事情------------------------

  前号から、ファイルサーバの話をしています。情報セキュリティ云々の前
 に、現代らしい利便性を達成しようとしたら、ファイルサーバの設置はかな
 り小規模の企業・団体でも必須です。

  さてファイルサーバを設置するためには、まず電源を入れっぱなしにして
 も大丈夫なコンピュータを1台とサーバOS(Windows Server 2008など)を
 用意します。電源を入れっぱなしにしても大丈夫なコンピュータとは、電源
 ユニット・CPU・HDDの冷却能力が十分なコンピュータです(180号)。コン
 ピュータの処理能力はあまり高くなくても大丈夫です。HDDの保存容量は大き
 めの方が良いでしょう。サーバを何年利用するつもりなのかという事から、
 ムーアの法則(156号)を考慮して考えて下さい。最初からサーバ用になって
 いるコンピュータを買うという事でも構いません。
 (バックナンバーは http://www.kiriishi.net/7799/jijo.htm から)

  ファイルサーバは普通のOSでも代用できますが、セキュリティを考える
 ならばサーバ用OSを使うべきです。アクセスしてくるユーザごとに、ファ
 イルやディレクトリ(フォルダ)を見せたり、見せなかったり、書き込みや
 消去を認めたり認めなかったり、設定さえすれば細かく制御する事が出来ま
 す。但し、WindowsのサーバOSは高価です。PC数が20未満の会社では、
 Windows Home Serverという、機能限定の安価なサーバOSを利用するのが
 得策でしょう。管理出来る人が居るなら、MacサーバやLinuxサーバを利用
 するという手段も考えられます。

  サーバが立ち上がったら、全社員のユーザIDを設定して下さい。複数人の
 社員にIDを共用させてはいけません(205号)。パスワードも適切に設定
 される様にして(45号、109号)下さい。どんな事情があっても、誰にも漏ら
 してはなりませんし、推測されやすいパスワードでは意味がありません。
 (誰かにパスワードを教えたい場合には、必ず他の解決方法があります。)

  次には、格納ディレクトリ(フォルダ)を用意します。通常は部署ごとの
 格納場所を用意してそこは部署内の人にアクセスを限定し、その他に部署
 横断的にデータを格納する場所も用意して、全社員にアクセスを開放して
 おきます。

  ファイルサーバを導入しようとすると、「他の部署の人にはデータを
 覗かれたくない」と言って、データを外付けメディアに残そうとする部署
 が発生する事が多いですが、原則部署外にはデータを公開しない事でたい
 てい解決しますし。必要なら、部長だけとか、課長以上にアクセスを制限
 する事も可能です。システム担当者も緊急時以外はファイルの中身を除か
 ない事を約束しておくと良いでしょう。大きな会社ならば、部署ごとに
 ファイルサーバを設置するという事もあり得ます。

  社員個人ごとのデータ格納場所も設置した方が良いでしょう。「社員の
 個人的なデータ」があるというのは会社側から見ればおかしな話ですが、
 そうでなければ、結局1人で利用したいデータを持っている社員は、外付け
 のメディアや各々のPCにデータを置いてしまい、ファイルサーバ導入の
 意義が半減してしまうでしょう。

  社長級の役員だけは、どこかファイルサーバ以外にデータを置くのを認め
 ないといけないかもしれませんね。その代わり、そのデータのバックアップ
 は、データ保有者自身で取っておかないとならなくなります。

  とにかく、会社中のデータファイルは個々に散らばらさない事が必要です。
 でないと、集中管理、データ共用が達成できません。データ共用の為に電子
 メディアに書き出した際に、紛失事故が発生したりします。メールで送る事
 も行われるでしょうが、それにしてもメールサーバが社内にない場合には、
 メールが途中で傍受(盗聴)される危険を伴います。

  ファイルサーバ設置の話は、もう少し続きます。


☆本題のISO27001解説--------------------------

7.1 マネジメントレビュー 一般

 【解説】”マネジメントレビュー”は、PDCAサイクルの「見直し」にあたる
  活動です。計画して、実行して、チェックした結果、うまくいったのか、
  うまくいかなかったのか、原因は何だったのかという事を基にして。では、
  次にどうしたらよいか、これからどうしたらよいかということを導き出し
  て下さい。会社が「これからどうするかを決定」するのですから、当然
  社長さんがそれを決めるべきです。

   尚、細かいところまでこのレビューで決めなくても構いません。だい
  たいの方向性が決まっていれば、あとは次のPDCAの”P”などで考えられれ
  ばよいでしょう。

   話が少々逸れますが、マネジメントレビューは「マネジメント活動の
  見直し」(英語にすればreview of management)という意味と思われます。
  書いてある事全体を読めば間違いなさそうです。しかし、旧版のISO9001
  /14001のJIS訳に「経営層による見直し」(英語にすると review by the 
  management)とされていた為に、広く誤解されている様です。


 マネジメントシステムは、時間の経過にともなってだんだんと適切でなく、
妥当でなく、有効でなくなって行きます。(それは、7.2項の報告事項や、技術
の進歩、会社の設備の老朽化などが原因になります。)社長さんは、前もって
決めた(以内の)間隔でISMSを見直して(レビューして)、時代の移り変わりに
対応していかなければなりません。その間隔は長くても1年以内として下さい。


 この見直し(レビュー)では、少なくとも次の事の”変更の必要性”や
”改善できそうなところ”について考えて、どうするべきか評価して下さい。

 a)情報セキュリティポリシー/セキュリティ目的(管理目的)
 b)その他のISMS中の何かの仕組み

 【解説】”改善できそうなところ”とは、「世間が改善が必要だと思って
  いる」とまで言わない事だけれども、とてもかけられない程ではない手間
  や投資で改善出来る事、を言います。


 この見直し(レビュー)結果は、議事録などの記録に残して下さい。

------------------------------------
 マネジメント改善研究所は、雇用安定助成金対象教育を幅広く用意して
 提供しています。
------------------------------------
日常語:ISO27001は「ISOで小難しい言葉を使わない運動」を強く推進して
います。
日常語:ISO27001は、ISO27001の日常語日本語訳です。JIS Q 27001の日常語
変換版ではありません。
日常語:ISO27001は、うちわ(社内など)で利用頂いて結構ですが、印刷物・Web
などの多数へ配布する媒体に無断で引用するのはご遠慮下さい。
尚「情報セキュリティ新事情」は、無断でない限りかなり広範囲に許諾する
つもりです。

ご質問、ご意見、ご相談、政権交代は大歓迎です。

他の項目の解説は:  http://www.kiriishi.net/7799/top.htm

バックナンバーは:  新事情インデックスからご利用下さい。
情報セキュリティ新事情インデックスは:
           http://www.kiriishi.net/7799/jijo.htm
マネジメント改善研究所ホームページ:
           http://www.kiriishi.net/
メールマガジンの登録・解除は:
           http://www.kiriishi.net/7799/mag2.htm
環境版メルマガは:
           http://www.kiriishi.net/14001/mag2.htm
ご意見、ご感想、ご質問は:
           info3@kiriishi.net

○発行 マネジメント改善研究所
○編集 切石 庄之介
Copyright マネジメント改善研究所 

マネジメント改善研究所は、石川県金沢市にあります。
大雨で電車が止まらなければ、編集人自ら全国に出張可能です。


























ここまで
最新号をメルマガでお届け
登録 解除

規約に同意して

登録した方には、まぐまぐの公式メルマガ(無料)をお届けします。

最近の記事

上へ戻る