引っ越しとISMSと私


57049f9c3a47f08964e4feec879cee9b_m-min

引っ越しとISMSと私

作詞 結石一樹
作曲 結石一樹
歌 結石一樹

引っ越しとISMSと私 愛する親のため
大阪で自立したいから 一人暮らしさせてね
愛する親のため 関西弁でいさせて

引っ越しとISMSと私 愛する自分のため
東京で成長したいから 上京させてね
愛する自分のため 東京弁でいさせて

引っ越しとISMSと私 愛するあなたのため
福岡で暮らしたいから Uターンさせてね
愛するあなたのため 博多弁でいさせて

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

はい、わたくし事ですが、人生で転機となる大きな引っ越しを3回経験しております。
細かいのを入れると6回もです!

コラムを読んでいただいている皆様も、お引っ越しは経験があると思いますが、どんな理由がありましたか?
振り返るとそこには人生ドラマがあるかもしれませんね。

前置きはこの辺にして、ISMS(ISO27001)のマネジメントシステムを皆様の人生に置き換えたときにISMS(ISO27001)と引っ越しは大きく関連しています!

今回は特に、『情報セキュリティマネジメントシステム- 要求事項 JIS Q 27001』の『6.1.2項 情報セキュリティリスクアセスメント』『6.1.3項 情報セキュリティリスク対応』ついて解説させていただきます。

ISO27001の要求事項

まずはISO27001(6.1.2項、6.1.3項)になんと記載されているか確認しましょう。

6.1.2 情報セキュリティリスクアセスメント
組織は,次の事項を行う情報セキュリティリスクアセスメントのプロセスを定め,適用しなければならない。
a) 次を含む情報セキュリティのリスク基準を確立し,維持する。
 1) リスク受容基準
 2) 情報セキュリティリスクアセスメントを実施するための基準
b) 繰り返し実施した情報セキュリティリスクアセスメントが,一貫性及び妥当性があり,かつ,比較可能な結果を生み出すことを確実にする。
c) 次によって情報セキュリティリスクを特定する。
 1) ISMS の適用範囲内における情報の機密性,完全性及び可用性の喪失に伴うリスクを特定するために,情報セキュリティリスクアセスメントのプロセスを適用する。
 2) これらのリスク所有者を特定する。
d) 次によって情報セキュリティリスクを分析する。
 1) 6.1.2 c) 1) で特定されたリスクが実際に生じた場合に起こり得る結果についてアセスメントを行う。
 2) 6.1.2 c) 1) で特定されたリスクの現実的な起こりやすさについてアセスメントを行う。
 3) リスクレベルを決定する。
e) 次によって情報セキュリティリスクを評価する。
 1) リスク分析の結果と6.1.2 a) で確立したリスク基準とを比較する。
 2) リスク対応のために,分析したリスクの優先順位付けを行う。
組織は,情報セキュリティリスクアセスメントのプロセスについての文書化した情報を保持しなければならない。

6.1.3 情報セキュリティリスク対応
組織は,次の事項を行うために,情報セキュリティリスク対応のプロセスを定め,適用しなければならない。
a) リスクアセスメントの結果を考慮して,適切な情報セキュリティリスク対応の選択肢を選定する。
b) 選定した情報セキュリティリスク対応の選択肢の実施に必要な全ての管理策を決定する。
c) 6.1.3 b) で決定した管理策を附属書 A に示す管理策と比較し,必要な管理策が見落とされていないことを検証する。
d) 次を含む適用宣言書を作成する。
e) 情報セキュリティリスク対応計画を策定する。
f) 情報セキュリティリスク対応計画及び残留している情報セキュリティリスクの受容について,リスク所有者の承認を得る。
(引用:JIS Q 27001:2014 (ISO/IEC 27001:2013)

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

長々と難しいですね…要点だけお伝えします。

つまりこういうこと!

ステップ1
情報資産を洗い出しましょう!
例えば、私だと、自分自身、両親、妻、娘、PC、家具、家電と洗い出したらきりがないくらい出てきますね。

ステップ2
この中で特に重要な資産はなにか?を考えます。
資産はたくさんあるでしょうが、重要でなかったり、細かいものはこの際どうでもいいです。洗い出しから漏れていてもいいです。
大事なのは、重要な幹となるものを決めること!

これが無くなろうもんなら、どないしたらいいやと叫びたくなるレベルのものです。
家電、家具。。。まぁ、寿命もあるし、無くなったり、壊れてもいいでしょう!
自分自身、両親、妻、娘、このあたりの重要度はMAXですよね。取り返しがつかない。

重要度を考えるときは、3つの観点で考えましょう。

C(機密性) 漏れてはいけない 
I(完全性) 間違ってはいけない
A(可用性) すぐ使えないといけない

ステップ3
重要な資産が特定できたら、現状で問題がないのか確認しましょう。
問題がある場合は対策を取ってくれということを言われています。
例えば、自分自身、両親、妻、娘が重要資産だとして、現状で問題がないのか?
これはリスクアセスメントの結果(ステップ1・2)を考慮して、検証していく必要があります。検証するタイミングによっても結果は変わってきます。

ようやく、引っ越しの話に関連してきますが、

1回目の引っ越し 奈良から大阪
実家暮らしを続けていると、自立できなくて、自分自身にも両親にも問題があると判断して引っ越しという対策を取ることで、自立できないリスクを軽減させました。

2回目の引越し 大阪から東京
慣れた環境の大阪にずっといるよりも、東京に行くほうが成長できると判断して、引っ越しという対策を取ることで、成長できないリスクを軽減させました。

3回目の引っ越し 東京から福岡
子供ができ、身寄りがいない東京で子育てをするよりも、助けてくれる身寄りがいる地元のほうが安心できると判断して、引っ越しという対策を取ることで、ワンオペ育児のリスクを軽減させました。

資産価値として、CIAの観点に当てはめにくいですが、人ほど資産価値の高いものはないという設定です。そ
の際に、自立、成長しないことで給料が上がらなかったり、働けなくなる影響が大きく、発生する確率も高いとリスク評価をして、どのシーンも引っ越しという対策を取っています。

ステップ4
最後に、ステップ3で決めた対策の内容と、それでも残留しているリスク、例えば、新しい環境に移ったからといってうまくいくとは限らない!といった内容について、リスク所有者のOKをもらいます。
ここでいうと、引っ越しをすることで、影響があるのは、私の場合はメインは、妻や転勤されてもらった会社とかになりますね。

まとめ

以上のように、ISMS(ISO27001)は身近なことでも当てはめて考えることができます。
ISMS(ISO27001)の新規取得をご検討してらっしゃる方がいらっしゃいましたら、ぜひ楽しく、リスクアセスメントしましょう!

ISMS総研は、東京・大阪・神奈川・愛知・埼玉・兵庫・福岡・静岡・千葉・京都など、日本全国の企業様をサポートさせていただいております。
無料相談も承っておりますので、いつでもお気軽にお問い合わせくださいませ。

■ちょっと聞きたいことがあるんだけど…という方
お気軽メールお問合せフォーム

■とにかくうちの場合はどうすればいいの?という方
無料でコンサルタントが伺います!

最後までお読みいただき、ありがとうございました!

  • Pマーク総研無料プレゼント02
  • Pマーク総研無料プレゼント03

【ISMS総研】メールマガジン登録

ISMSに関する情報をお届けします!

メールアドレスをご入力後、
「次へ」ボタンをクリックして下さい。

メールアドレス