情報セキュリティマネジメントシステム構築上のヒント

注：このページの内容は青字表記ですが、ISO27001には書かれていません。


　ISO9001では、プロセスアプローチが提言されています。ISO27001にはあまり強く書かれていませんが、同様にプロセス（活動）をベースにシステムを作った方が良いでしょう。

　つまり、情報セキュリティマネジメントシステムを導入する会社では、多くの場合品質マネジメントシステムが既に作られていて、仕事のやり方を決めた文書は出来ていると思われます。可能な限りは情報セキュリティ的な事柄もそこに盛り込む様にして下さい。

　例えば、
　お客さんの個人情報をもらってくる仕事があるとすれば、個人情報保護法を守るためにちゃんと情報の利用目的を理解してもらってから教えてもらい、途中で盗まれたりなくしたりしない様に会社に持ち帰り、誰にもわからないパスワードで本人認証をしてPCを立ち上げ、打ち込み間違いをしない様にコンピューターに打ち込んで、必要なら誰かに確認してもらい、控えてきたメモは情報が漏れない様な捨て方をする。という様な流れは、かなりの部分は仕事のやり方を決めてある文書に盛り込めるでしょう。

　『一つの仕事をする時に、品質の文書と情報セキュリティの文書の２つを見ないと出来ない。』という状況は、なるべく避けなければなりません。

　しかし、逆に
　「席を離れる時は、PC画面がのぞき込まれたり、机の上の書類がのぞき込まれたりしない様に・・・・・しなさい。」という様なことは、『仕事のやり方を書いた文書』に書こうとすると、全ての事務作業のやり方を書いた文書に、同じ事を書かなければならなくなったりします。決めた事を変えようとすると、すごくたくさんの文書を直す事にもなりますので、新しい文書を別に作った方が良いでしょう。

　なるべく、仕事がスムーズに流れる様に、同じ事があっちにもこっちにも書かれていない様に情報セキュリティマネジメントシステムを作って下さい。



　　　　　　　　　　　目次へ　　　　　　全体のトップへ