2007年3月に、財団法人ニューメディア開発協会が実施した「ISMSの維持管理における実態調査」(1422事業所中、264件が有効回答)によると、ISMS認証の効果と影響に関して、社員のセキュリティに対する意識の浸透を評価する一方で、認証取得によって事務作業量や制約も増えたと感じている企業が多いことが分かった。
以下に、その調査結果の一部を紹介しよう。
Q1:ISMS認証取得によって得られた効果とは?
Q2:ISMS認証取得で発生した想定外の影響とは?
具体的には、監査目的の資料作成やISMS事務局からの直接業務に関係のない依頼作業の増加、不要な作業履歴の記録などが影響しているとし、また機器の取り扱いに関する制約や上長の承認機会の増加などが大きく影響したという。
Q3:ISMS認証取得後の運用で負担となっている作業は?
Q4:ISMSの効果を上げるために現在重点的に取り組んでいるものは?
しかし、ISO27001/ISMS認証取得に際しては、対外的なアピールばかりではなく、内情がそれに即していないと形骸化してしまうため、注意が必要だ。
次回は、ISMS確立のための具体的な取り組みとは何かを紹介する。
経済産業省では、2000年7月31日に「情報セキュリティ管理に関する国際的なスタンダードの導入および情報処理サービス業情報システム安全対策実施事業所認定制度の改革」を公表するとともに、従来の「情報システム安全対策実施事業所認定制度(安対制度)」は2001年3月31日をもって廃止することを決定した。
これに伴い、技術的なセキュリティのほかに、人間系の運用・管理面をバランス良く取り込み、時代のニーズに合わせた新しい制度として、情報セキュリティマネジメントシステム(ISMS)適合性評価制度を創設することとなった。
ISMS適合性評価制度のパイロット事業(2001年度事業)では、対象範囲を主として情報技術関連分野(情報処理サービス業を含む)としていたが、2002年4月開始の本格運用ではこの制限を外し、すべての業種/業務分野を対象範囲とした。
Copyright © ITmedia, Inc. All Rights Reserved.