情報セキュリティマネジメントは、常に評価し改善していくことが必要だ。
主に以下のような観点から評価を行う。
- 組織の情報セキュリティの目的に合致しているか
- リスク対応やその他対応策の内容は妥当か
- 有効な結果を達成しているか
そして次の事項を実施する。
- 利用者の反発や、違反者の続出など、情報セキュリティの運用において発生する可能性のある問題を整理し、諸規定の妥当性を検証する
- 情報セキュリティに関する新しい技術などの導入について、諸規定における妥当性を検証する
- 情報システムの利用時における、情報セキュリティの確保について検証する
- 必要に応じて、諸規定の見直しや改廃を行う
事業継続への対応
情報化社会となった現在、組織ではBCM(事業継続マネジメント)の取り組みに注力している。
BCMにおいてはBCP(事業継続計画)を作成し、BCPにはインシデント発生時に事業を停止しないための方針や対応方法を記載する。
BCPには情報セキュリティ要求事項が盛り込まれている必要があり、適切でなければBCPの改善を提案しなければならない。
例として、情報セキュリティ要求事項には以下のようなものがある。
- サーバーをIDC(インターネットデータセンター)に設置する
- ネットワークやシステムの構成を冗長化する
- 予備のIDカードを複数拠点で管理する
今働いている会社は大阪にあり、南海トラフ地震がいつ来るかと、常に漠然とした不安を持ちながら日々働いている。
有事の際に何とか事業を継続できるよう、BCMへの取り組みが今後の課題である。