情報セキュリティは、災害発生などの非常時でも継続的に維持され続ける必要があります。ここでは、それを実現する「情報セキュリティ継続」という取り組みを紹介します。
この記事では、以下のトピックについて記載されています。
JIS Q 27001 対応箇所
附属書A.5.29、A5.30
情報セキュリティ継続とはなにか
ISMSの規格では、組織が危機的な状況に陥ったり、災害が発生したとしても、情報セキュリティを維持していくことが求められています。地震や火災が発生したとしても、情報の漏えい(機密性)や改ざん・紛失(完全性)、サービス停止(可用性)が発生しないようにあらかじめ計画を立て、検証を実施しておく必要があります。その取組を、ISMSでは「情報セキュリティ継続」と呼んでいます。
BCPという言葉をご存知の方もいらっしゃるでしょう。BCPとは、Business Continuity Plan の略語です。日本語にすると「事業継続計画」のことで、災害やテロなどの危機的な状態が発生した場合でも、影響を最小限に抑え、事業を継続的に行うための計画のことです。今回検討する「情報セキュリティ継続」は、そのBCPの情報セキュリティ版だと考える事ができます。危機的な状況でも、情報の機密性・完全性・可用性を損なわないために(特に「可用性」が問題になるケースが多いです)、あらかじめ計画を立てておくことが大切です。
JIS Q 27001:2023では、以下の規格項番名に変更になっています
・A.5.29 事業の中断・阻害時の情報セキュリティ
・A.5.30 事業継続のためのICTの備え
これは何か緊急事態があった際に、「情報セキュリティレベルを維持する」ことと、「情報セキュリティにより事業を継続する」ことの2点が含まれています。そのため事業継続を目的に、「情報セキュリティ継続」が主題となっている、というわけです。
情報セキュリティ継続の取り組み方
SecureNaviを利用して情報セキュリティ継続に取り組むためには、以下の記事を参考にしてください。