2020年12月07日

「従業者にも実はメリット!?」なISMSのハナシ

ishihama
石濱 雄基 記事一覧
Posted in ISMS/ISO27001, リスクアセスメント, 内部監査, 従業員教育, 情報セキュリティ,
このエントリーをはてなブックマークに追加 LINEで送る

ISMSでは、従業者も巻き込んで取り組みを実施していくことが重要になります。
しかし従業者からしてみると、ISMSって何だろうの状態で、取り組みが動いていくことに対するネガティブイメージを持つ方もいるかもしれません。また、自分には関係ないと言って積極的には関わってもらえないケースも少なからず考えられるでしょう。

そこで今回は、ISMSを運営する担当者だけでなく、この取り組みにうまく乗れば実は、現場で働く従業者にもメリットがあるということを考えてみたいと思います。

情報資産の洗い出し

この取り組みでは、情報資産を洗い出して台帳化して管理していきます。
ここでいう情報資産とは簡単に説明すると、「機密性(漏れたら困る)」「完全性(誤っていたら困る)」「可用性(利用できなかったら困る)」といった情報セキュリティの観点から管理する必要があると考えられる資産を指します。
洗い出しの際には、実際の業務フローなどをもとにどのような情報資産があるのか、誰が責任者でだれが触ることができるのか、どこに保管されているのかなど各情報資産にまつわる様々な情報を洗い出していくことになります。

上記の取り組みから考えられる従業者にとってのメリットとして、「各情報資産の保管場所が把握しやすくなる」「どの情報資産を誰が見ていいものなのか把握しやすくなる」といったことが挙げられます。
普段業務を行っていると、利用するデータがどこに保管されているのか、どこに保管すべきなのかということ、また、各情報の閲覧権限が誰に付与されているのか、自分は何を閲覧していいのかといった点について悩むこともあるのではないでしょうか。

そういった方々には、ぜひ情報資産の洗い出し・整理を活用してより効率的な業務を実施していただければと思います。また、情報資産の洗い出しを行っていく際には、実際の業務フローに沿って取り扱う情報資産を洗い出すことが多いと思いますので、業務フローの再確認や見直しにもご活用いただけます。

リスクアセスメント

リスクアセスメントとは、それぞれの業務や情報資産の取扱いにより発生するリスクを洗い出す作業です。洗い出したリスクは、リスク値(危険度合い)を計算して、一定以上の基準値を超えた場合には追加対策を計画することになります。また、基準値が一定に達していない場合でも、追加対策をすることでよりよくしたいなどという場合には、追加対策を計画することは可能です。そして、計画された追加対策は、事務局によって運用スケジュールに反映されることになります。

上記の取り組みから考えられる従業者にとってのメリットとして、「実は考えていた業務改善や効率化のアイデアを管理層に直接伝えることができる。また、追加対策として挙げたものは運用内でスケジュール化され議論してもらえる。」ということが挙げられます。
普段だと、業務を行う中で「もっとここをこうしたらいいのに」「こういうところほんとは危ないと思うんだよな」といったことを心の中で思っても、提案したり、提案できても実際は管理層にまでは届かないということも少なからずあるのではないでしょうか。

そういった方々には、ぜひリスクアセスメントの機会を、業務をよりよくするアイデアを提案していくチャンスととらえていただき活用していただければと思います。

教育

ISMSでは、必要な力量を身につけてもらうという意図のもと、教育や研修が実施されます。教育や研修の内容について明確な定めはありませんが、基本的には情報セキュリティに関することが実施されます。

上記の取り組みから考えられる従業者にとってのメリットとして、「自分が普段関わる業務以外の知識を得る機会になる」「公私関係なく利用できる知識を得ることができる」ということが挙げられます。
普段業務に関係する情報以外にも広くアンテナを張り続けるということは非常に労力を使うのではないでしょうか。そういった点で、普段の業務以外の情報を学ぶことができるいい機会ととらえることができます。
また、情報セキュリティに関する知識は、仕事に関係なく日常にも役立つ知識が多いです。なぜなら、現代では私生活でもインターネットや電子機器・多くの情報に囲まれ利用しています。そのため、情報セキュリティの最近の傾向や対策などを学ぶことで、私生活の安全にも流用することができるのです。

ですので、教育を受け身で受けるのではなく、普段意識しないと入手できない知識を身につけることができる機会、私生活の安心安全にまでつなげるチャンスという風にとらえるとよりポジティブに取り組んでいただけるのではないでしょうか。

内部監査

内部監査では、自組織のルールがきちんと守られているか、また、そのルールが有効なものかといったことについてチェックをしてもらいます。その対象として普段ISMSの運営にはあまりかかわっていない一般従業者の方もチェックされます。

上記の取り組みから考えられる従業者にとってのメリットとして、「自分のルール順守度合いを改めて知ることができる」「定められているルールが業務の遂行に支障をきたしている場合における改善のための指摘をもらえる」ということが挙げられます。
たとえば、組織のISMS運営側が作ったルールについて自分がどの程度守れているのかといったことを知る機会はなかなかないのではないでしょうか。
また、運営側で作って運用しているルールがあることによって、実は業務がしづらくなっている、作業効率が下がってしまっていると感じることもあると思います。内部監査では、有効性という観点からそういったところについてもチェックの上、ISMS運営側に指摘をあげてもらうことができます。

ですので、内部監査をルールを守っているか確認されるテストだと認識するのではなく、改めて組織のルールを確認することができる、また、実は自分たちの作業効率を上げるチャンスにもなるという風にポジティブにとらえて活用していただければと思います。

まとめ

今回は、普段ISMSにあまりかかわることのない従業者の視点から、ISMSをうまく利用すれば実は自分たちにとってもメリットになるということを考えてみました。

これまで、ISMSを遠い話に思っていた方、よくわからなかった方にも、こういったメリットがあることを頭の隅にでも置いていただいて、どんどん積極的に利用していただければと思います。

ISMSについてより詳しく知りたい方は、当社ブログの別の記事も読んでみていただければ幸いです。

このエントリーをはてなブックマークに追加 LINEで送る

2020年12月7日

「従業者にも実はメリット!?」なISMSのハナシ

Posted in ISMS/ISO27001, リスクアセスメント, 内部監査, 従業員教育, 情報セキュリティ

ISMSでは、従業者も巻き込んで取り組みを実施していくことが重要になります。
しかし従業者からしてみると、ISMSって何だろうの状態で、取り組みが動いていくことに対するネガティブイメージを持つ方もいるかもしれません。また、自分には関係ないと言って積極的には関わってもらえないケースも少なからず考えられるでしょう。

そこで今回は、ISMSを運営する担当者だけでなく、この取り組みにうまく乗れば実は、現場で働く従業者にもメリットがあるということを考えてみたいと思います。

情報資産の洗い出し

この取り組みでは、情報資産を洗い出して台帳化して管理していきます。
ここでいう情報資産とは簡単に説明すると、「機密性(漏れたら困る)」「完全性(誤っていたら困る)」「可用性(利用できなかったら困る)」といった情報セキュリティの観点から管理する必要があると考えられる資産を指します。
洗い出しの際には、実際の業務フローなどをもとにどのような情報資産があるのか、誰が責任者でだれが触ることができるのか、どこに保管されているのかなど各情報資産にまつわる様々な情報を洗い出していくことになります。

上記の取り組みから考えられる従業者にとってのメリットとして、「各情報資産の保管場所が把握しやすくなる」「どの情報資産を誰が見ていいものなのか把握しやすくなる」といったことが挙げられます。
普段業務を行っていると、利用するデータがどこに保管されているのか、どこに保管すべきなのかということ、また、各情報の閲覧権限が誰に付与されているのか、自分は何を閲覧していいのかといった点について悩むこともあるのではないでしょうか。

そういった方々には、ぜひ情報資産の洗い出し・整理を活用してより効率的な業務を実施していただければと思います。また、情報資産の洗い出しを行っていく際には、実際の業務フローに沿って取り扱う情報資産を洗い出すことが多いと思いますので、業務フローの再確認や見直しにもご活用いただけます。

リスクアセスメント

リスクアセスメントとは、それぞれの業務や情報資産の取扱いにより発生するリスクを洗い出す作業です。洗い出したリスクは、リスク値(危険度合い)を計算して、一定以上の基準値を超えた場合には追加対策を計画することになります。また、基準値が一定に達していない場合でも、追加対策をすることでよりよくしたいなどという場合には、追加対策を計画することは可能です。そして、計画された追加対策は、事務局によって運用スケジュールに反映されることになります。

上記の取り組みから考えられる従業者にとってのメリットとして、「実は考えていた業務改善や効率化のアイデアを管理層に直接伝えることができる。また、追加対策として挙げたものは運用内でスケジュール化され議論してもらえる。」ということが挙げられます。
普段だと、業務を行う中で「もっとここをこうしたらいいのに」「こういうところほんとは危ないと思うんだよな」といったことを心の中で思っても、提案したり、提案できても実際は管理層にまでは届かないということも少なからずあるのではないでしょうか。

そういった方々には、ぜひリスクアセスメントの機会を、業務をよりよくするアイデアを提案していくチャンスととらえていただき活用していただければと思います。

教育

ISMSでは、必要な力量を身につけてもらうという意図のもと、教育や研修が実施されます。教育や研修の内容について明確な定めはありませんが、基本的には情報セキュリティに関することが実施されます。

上記の取り組みから考えられる従業者にとってのメリットとして、「自分が普段関わる業務以外の知識を得る機会になる」「公私関係なく利用できる知識を得ることができる」ということが挙げられます。
普段業務に関係する情報以外にも広くアンテナを張り続けるということは非常に労力を使うのではないでしょうか。そういった点で、普段の業務以外の情報を学ぶことができるいい機会ととらえることができます。
また、情報セキュリティに関する知識は、仕事に関係なく日常にも役立つ知識が多いです。なぜなら、現代では私生活でもインターネットや電子機器・多くの情報に囲まれ利用しています。そのため、情報セキュリティの最近の傾向や対策などを学ぶことで、私生活の安全にも流用することができるのです。

ですので、教育を受け身で受けるのではなく、普段意識しないと入手できない知識を身につけることができる機会、私生活の安心安全にまでつなげるチャンスという風にとらえるとよりポジティブに取り組んでいただけるのではないでしょうか。

内部監査

内部監査では、自組織のルールがきちんと守られているか、また、そのルールが有効なものかといったことについてチェックをしてもらいます。その対象として普段ISMSの運営にはあまりかかわっていない一般従業者の方もチェックされます。

上記の取り組みから考えられる従業者にとってのメリットとして、「自分のルール順守度合いを改めて知ることができる」「定められているルールが業務の遂行に支障をきたしている場合における改善のための指摘をもらえる」ということが挙げられます。
たとえば、組織のISMS運営側が作ったルールについて自分がどの程度守れているのかといったことを知る機会はなかなかないのではないでしょうか。
また、運営側で作って運用しているルールがあることによって、実は業務がしづらくなっている、作業効率が下がってしまっていると感じることもあると思います。内部監査では、有効性という観点からそういったところについてもチェックの上、ISMS運営側に指摘をあげてもらうことができます。

ですので、内部監査をルールを守っているか確認されるテストだと認識するのではなく、改めて組織のルールを確認することができる、また、実は自分たちの作業効率を上げるチャンスにもなるという風にポジティブにとらえて活用していただければと思います。

まとめ

今回は、普段ISMSにあまりかかわることのない従業者の視点から、ISMSをうまく利用すれば実は自分たちにとってもメリットになるということを考えてみました。

これまで、ISMSを遠い話に思っていた方、よくわからなかった方にも、こういったメリットがあることを頭の隅にでも置いていただいて、どんどん積極的に利用していただければと思います。

ISMSについてより詳しく知りたい方は、当社ブログの別の記事も読んでみていただければ幸いです。

Author: 石濱 雄基
  • はてなブックマークに追加
  • ツイートする
  • facebookでシェアする
  • LINEでシェアする