「ISMSの範囲外だからルール外」は良くありません

この記事は約2分で読めます。

ISMSは取得範囲を選択できる

ISMSを取得する場合は、会社の「どの範囲」でISMSを取得するかを決めていきます。

Pマークは必ず全社で取得しなければなりませんがISMSの場合は事業所単位や部署単位で取得の範囲を選択することが出来ます

全社取得でなく部分取得をした場合に起こる良くないケースとしてISMSの取得部分と未取得部分でルールが全く違うことがあります。

メールの添付ファイルに関する例

ISMSを取得する部署だけ、メールで添付ファイルを送信する際にはパスワードをかけるけど、ISMSを取得しない部署では添付ファイルへのパスワードをかけないなどです。

そういった時に取得していない部署の人に「なぜパスワードをかけないのですか?」と質問すると うちの部署はISMSを取得していないからパスワード掛けなくて良いんですよ」と言われる事がありました。試しに取得している部署の人に「なぜ添付ファイルにパスワードをかけるのですか?」と質問すると「うちのISMSのルールで決められているから」という回答でした(苦笑)。

そもそもISMSの規格(ISO27001)には添付ファイルをパスワード保護しなさいとは求められていません。誤送信防止の対策として、会社として添付ファイルのパスワード保護という方法を採用しているのです。

情報セキュリティ対策は会社として「どうやるのか」を決める

「何のために行っているのか?」ということを全員が考えていかないと本当の意味での情報セキュリティレベルの向上は図れません。そして、「ISMSだからやっている」「ISMSの範囲じゃないからやらない」ではありません

会社として情報セキュリティ対策の為にどうすべきかを決めるべきです。

メールの添付ファイルのルールも、部署によってメールの送る内容や宛先などが異なる場合があって、そこを基準に添付ファイルのパスワード保護をするかしないかを分けるのは良いとは思いますが、ISMSの範囲か範囲じゃないかで分けるのは良くないです。

「会社として情報セキュリティのルールをどうするか決めて、適切な範囲で運用」した後に「それじゃ、審査を受けて認証を取るのはこの範囲ね」とした方が良いと思います。出来るだけルールは統一しておいた方が良いケースが多いです。

ISMS / ISO27001認証取得を目指す
タイトルとURLをコピーしました