ISMSは日本語訳すると「情報セキュリティマネジメントシステム」。その名の通り情報に関するセキュリティをきちんとしましょう、という内容。きちんと管理って何ぞという話もあるけれどここでは置いておきます。

で、情報って何かという話になるのだけれど基本的に有形だろうが無形だろうが「漏洩したら困る」「壊れたら／改ざんされたら困る」「使いたいときに使えなかったら困る」情報は”情報資産”として取り扱う。ちなみに最初のが機密性、次が完全性、最後が可用性という言い方というか尺度で評価される。これら情報資産をセキュリティの観点からちゃんと管理下に置きましょう、というのがISMSの主題だと思っています。

上記にあてはまるものってすごく多くないか？という疑問を感じたらその通りです。聞くところによるとどこも苦労しているみたい。ISMSを構築しようとするとここは確かにハードルになります。

実際、コンサルティング会社によってはここの手法も含めてサービスとして提供しているようです。初めて構築ともなるとこれだけで数か月かかるので根気が必要です。

これを台帳化して管理下に置くんですけど、結構な量になるので上手く作ってやらないと管理しきれないことになります。当たり前ですが、この辺を「ExcelやAccessで効率的にやるにはどうすればいいか」とかは仕様書には書いてないので構築する側で工夫する必要があります。

工夫する必要があるといっても漠然としているんですが、実際に試すのが一番判りやすいと思います。まずは数人単位での業務からざっくり情報資産を洗い出し、実際に台帳にしてみる。

ISMSでの情報資産台帳は最終的にリスクアセスメントに使われるものなので、その台帳を利用して、実際にリスクアセスメントしてみるのがいいかと思います。台帳のテンプレートは参考になる本がたくさんあります。

上述の「試してみる」は実際に僕がやったわけではなくて、「こうすればもっと楽だったかもなぁ」と思いながら書いていますｗ