3.3. 企業や組織における情報セキュリティ
企業や組織においては、情報管理担当者だけでなく、職員各自が情報セキュリティに対する適切な知識を持つ「組織としての情報セキュリティに対する認識」が要求されます。
企業の保護すべき情報には、その企業自身の情報のみならず、お客様の情報など社外から預かった情報も含まれます。情報漏洩等の防止と安全な運用のために、情報セキュリティ対策の重要性が増しています。
特にネットワークに接続された環境下では、たった1台のコンピュータのウイルス対策を怠るだけで、組織全体にウイルスが蔓延するなど、組織全体に大きな損害を与える危険性もあります。
業務でコンピュータを利用している場合には、そこに格納されている大切なデータを利用する期間は、関連するファイルが確実に保管されていることの保証も必要です。そのためには、機器に対する停電や落雷、地震などへの対策も要求されるとともに、定期的なデータのバックアップも行われていなければなりません。
情報セキュリティポリシーの策定、ユーザ認証の設定、ユーザへの情報セキュリティの教育、不正侵入やハッキングへの対策等々、特に情報管理担当者にはさまざまな情報セキュリティ対策が要求されます。
企業の情報セキュリティ対策の全体をマネジメントシステムと捉える情報セキュリティマネジメントシステム(ISMS:Information Security Management System)の考え方導入されています。
・ISMSとは
ISMS制度とは、(財)日本情報処理開発協会(JIPDEC)が運営している、企業のISMSを審査・認証登録する制度です。 正式には情報セキュリティマネジメントシステム(ISMS)適合性評価制度と言い、2002年4月から運用を開始しています。 ISMS制度の認証を取得するには、定められた認証基準(ISMS認証基準)を満たすISMSを構築し、JIPDECまたはJIPDECの認定したISMS審査登録機関の審査に合格することが必要です。
|