金持ち企業は簡単にISMSが取得できる?
こんにちは、丸山満彦です。情報セキュリティマネジメントの認証であるISMS制度をご存じの方も多いと思います。既に日本では、2005年1月17日現在622組織が登録しています(http://www.isms.jipdec.jp/lst/ind/index.html)が、お金持ちの企業は簡単にISMSを取得できるのでは?という話です。
ISMS評価制度は、ISMS認証基準に従った運用をしている組織を、ISMS審査登録機関が審査をして認証する制度で、この結果、ISMS認証を受けた組織は、ISMS評価基準に基づいたマネジメントが行われていることが保証されることになり、ISMS評価基準が良い基準であることと思っている人は情報セキュリティの取扱いについて安心してその組織と取引をできることになります。
さて、本日の本題は、制度の話ではなく、評価基準を読んでいると、お金持ちの企業は簡単にISMSを取得できるのではないかと思えるという話です。この背景は、「リスクを保有する」という概念です。ISMS評価基準では、リスクマネジメントの考え方を採用しており、リスクの対応について、次の4つの方法を選択するようになっています。
・リスクの低減(詳細管理策の採用)
・リスクの保有
・リスクの回避
・リスクの移転
という方法を示しています。
「リスクの低減」の方法は、詳細管理策に含まれる127のセキュリティ対策に代表される管理策の採用になります。
「リスクの回避」とは、リスクが生じる原因となる行為自体をやめることなど、リスクの発生原因を取り除くことです。その結果、チャンス(機会)も同時に失うことになります。
「リスクの移転」は、保険やアウトソーシングがあります。保険は、リスクファイナンスの一種で、万が一の場合の損害を補填してくれることになりますが、リスクの発生そのものを減少させるものではありません。
さて、問題の「リスクの保有」です。リスクの保有は、リスクが発生した場合に備えて社内で剰余金などにより資金の引き当てをしておくことです。
お金持ちの企業は剰余金が多くあります。リスクが顕在化した時のために使えるようにしておけば、127の詳細管理策をみっちりしなくても、リスク保有で多くの管理策が省略できるのではないでしょうか?
審査員:どうしてこの対策をしないのですか?
会社側:いやいや、事故が発生した場合に備えて資金の手当てをしています。
Comments
丸山 さん
おはようございます♪
世界的に見ると,ISMS認証取得事業者の総数が1,000くらいだそうですから(某氏の言による。正確ではないかも。),その数字が正しいとすれば,日本におけるISMS認証取得数は異常とも言うべきものかもしれないですね。(笑)
良心的な事業者であれば,認証取得のために,きちんと勉強し,業務の見直しも少なくとも1回はしていることになるので,今後もきちんと業務の自己点検と見直しを続けてほしいものですね。
Posted by: 夏井高人 | 2005.02.01 09:06
夏井先生、コメントありがとうございます。3年ほど前にISACA香港の会長と話をしている時は、「BS7799-2なんて取得しようとするとものすごくコストがかかって大変だ。こんな認証を取る意味があるのは、金融機関くらい。」という話でしたが、日本では金融機関はほとんど取得していませんね。2005年2月1日にアクセスした限りでは、BS7799-2の認証取得数は全世界で1078サイト、日本は510サイトですね。ISMSユーザーグループ調べ。http://www.xisec.com/register.htm
Posted by: 丸山満彦 | 2005.02.01 15:13