株式会社 渡辺コンサルティングオフィス
トップページ
データ経営構築と運用
審査の現場から
内部監査員養成講座
会社案内

…渡辺コンサルの独り言…

(2015年9月6日付)

〜 7.5.3 文書化した情報の管理 〜

皆さん、今日は、こちら千葉県北西部は快晴です。天気予報によると、金曜日から日曜日に掛けては全国的に雨や雪の愚図ついた予報でしたが、大した崩れも無く過ぎました。先週の厳しい寒さも少し和らぎ、暖冬が戻ってきたようにも思えます。皆さんのお住まいの地域は如何でしょうか?

さて、所謂、文書管理です。今、手元に品質 ( ISO9001 )、環境 ( ISO14001 ) の 2015 年度版、情報セキュリティマネジメントシステム ( ISMS ) = ISO27001 : 2013 年度版の3冊があります。それぞれ付属書 ( アネックス ) SL に基づき発行されていますので規格の基本構造を一にし、共通要素も出来る限り同一の内容になっていて、複数の規格に取り組む組織にとっては統合がし易いように配慮されています。

ところで、今回のタイトルである “文書化した情報の管理” ですが、その中に ISMS を理解していないと分かり難い箇所があります。今回と次回はこの部分をご案内します。以下は環境の 7.5.3 項です。

7.5.3 文書化した情報の管理
環境マネジメントシステム及びこの規格で要求されている文書化した情報は、次の事項を確実にするために、管理しなければならない。
a)文書化した情報が、必要なときに、必要なところで、入手可能かつ利用に適した状態である。
b)文書化した情報が十分に保護されている(例えば、機密性の喪失、不適切な使用及び完全性の喪失からの保護)
文書化した情報の管理に当たって、組織は、該当する場合には、必ず、次の行動に取り組まなければならない。
− 配付、アクセス、検索及び利用
− 読みやすさが保たれることを含む、保管及び保存
− 変更の管理(例えば、版の管理)
− 保持及び廃棄
環境マネジメントシステムの計画及び運用のために組織が必要とした外部からの文書化した情報は、必要に応じて識別し、管理しなければならない。
注記 アクセスとは、文書化した情報の閲覧だけの許可に関する決定、又は文書化した情報の閲覧及び変更の許可及び権限に関する決定を意味し得る。

これが環境の 7.5.3 における全文です。この項は、品質も ISMS もほぼ同じ内容になっています。文中、「該当する場合には、必ず〜」 とありますが、果たして該当しない場合があるのか?

さて、この中で ISMS ならではの表現があります。分かりますよね。

b) 文書化した情報が十分に保護されている(例えば、機密性の喪失、不適切な使用及び完全性の喪失からの保護)

それから、そのやや下の箇条書きのところに・・・

− (略) アクセス
注記 アクセスとは、文書化した情報の閲覧だけの許可に関する決定、又は文書化した情報の閲覧及び変更の許可及び権限に関する決定を意味し得る。

これらの要求事項は ISMS を理解していないと、どう対応して良いか分からないと思います。反面、大変、要求事項の幅が広がったとも言えます。今までも電子データを含む文書管理要求があったのですが、規格の表現が弱かった。今回からハッキリと電子データを含む要求になっています。

“アクセス” とは当然 “アクセス権” を指し、電子データのアクセス権に加え、紙媒体のアクセス権をも含みます。組織にとって重要な情報 (機密や秘扱い) に対して認可された人達にのみ、その情報を扱う事が出来る権限を与えることです。ということは・・・、組織にとって最重要な情報、重要な情報、社内のみで取り扱う一般情報、そして会社案内などの公開情報に分け、最重要、重要、一般情報に該当する電子データ、紙媒体とは何かを区別するという前提があることになります。それには、先ず、以下のように仕分けをしなければなりません。先ず、自分達が取り扱う資料 (紙) を書き出し、最重要、重要、一般に分け、そのうえでアクセス権を誰に与えるかを決める (整理する) 必要があるということです。この作業は大変です。特に、何が最重要、重要、一般情報なのかを特定しなければならない。結構な時間と手間が掛かります。

区分取扱範囲 (アクセス権管理方法対象となる情報
最重要社長、役員及び認可された者常時施錠例:役員会議資料、人事関連資料
重要一部の認可された者以上 帰宅時施錠例:事業報告、個人情報を含む資料
一般情報社員及び一部の認可された者各自管理例:営業・業務用資料
公開情報

それから、ISMS では完全性、機密性、可用性という大きな側面について、それぞれの情報資産のリスク評価を行うことが要求されています。

ISO27000:2014 「情報技術−セキュリティ技術−情報セキュリティマネジメントシステム−用語」 には、それぞれの用語の定義を以下のように定めてあります。

機密性 ( confidentiality )
認可されていない個人、エンティティ又はプロセス(2.6.1)に対して、情報を使用させず、また、開示しない特性。
完全性 ( integrity )
正確さ及び完全さの特性
可用性 ( availability )
認可されたエンティティが要求したときに、アクセス及び使用が可能である特性。

*エンティティとは、英語の一般名詞として、組織や団体など物質的な実態に限らず実存する概念のことを指す、法律上の概念としては「法人」と訳される。(ウィキペディアより)

品質と環境の規格には、先ほどの b) にある “機密性の喪失、不適切な使用及び完全性の喪失からの保護” とありますが、可用性とはハッキリ言っていません。この辺りについては、また来週ご案内します。

今回はこの辺で。


Copyright (C) 2006-2007 Watanabe Consulting Office CO.,ltd. All Rights Reserved. | 個人情報保護方針