在宅勤務をしていてもISMS取得できる?
ISMSの認証取得を目指されている企業様から、「在宅勤務をしていてもISMSを取得できますか?」とご質問頂くことがあります。
回答としては、在宅勤務という業務形態でもISMSを取得することは可能です。
ただし、在宅勤務をした場合のリスクを評価し、リスクを評価し、管理策を策定しなければいけません。
在宅勤務のリスク
在宅勤務を認めるにあたり、どんなリスクがあるのでしょうか?
例えば、自宅は会社のように建物自体にセキュリティ対策が行われていないため、不審者が簡単に入ってくる可能性もありますし、怪しいメールが届いたときに、近くに相談できる人がいないためクリックしてしまう、会社のサーバから重要な情報を閲覧する際の漏えいの危険性など、盗難、盗聴、紛失、情報漏えいのリスクは高いと言えます。
しかし、脅威、リスクを把握した上で、在宅勤務する場合には、そのリスクを軽減できるルールを徹底し、実施することが出来れば可能になります。
JISQ27001:2006の規定でも
そして、ISMSの管理策にあたる、付属書AのA.11.7に「モバイルコンピューティング及びテレワーキング」の取扱い事項を決める管理策もあります。
モバイルコンピューティングとは、移動中又は外出先でコンピュータを利用することであり,テレワーキングとは,要員が,自分の所属する組織の外の決まった場所で,通信技術を用いて作業することである。 (※JISQ27001:2006を一部抜粋)
在宅勤務を導入するにあたり
在宅勤務を認めて導入するにあたり、情報セキュリティ方針の元、しっかりとした情報の取扱いルールを規定し、徹底することができるのであれば、従業者、会社双方にとってメリットがあり今後も増えていくのではないでしょうか。
そして、どの程度の対策を行えばよいのかというのは各企業の判断になりますが、完璧ではないにしても、費用対効果において合理的な範囲でセキュリティ対策、システム投資は必要になってきます。