ISO27001の認証取得するために、レイアウト変更や設備に投資する必要はありますか?
Q. ISO27001の認証取得するために、レイアウト変更や設備に投資する必要はありますか?
審査の合否に対しては、余程極端でない限りさほど影響はありません。
合否に関して重要なことは、
- 現在の環境下でのリスクを特定すること
- 特定されたリスクを評価すること
- 評価結果に応じてリスク対応を決定すること
です。したがいまして、必ずしも「レイアウト変更が必要」「設備投資が必要」という結論に至るわけではありません。
場合によっては、「現在の環境のまま、レイアウトの変更や設備の入れ替えではない方法でリスクマネジメントしていこう」という結論になり得るということです。
ただし、コンプライアンス的に許容できないケースもありますので、その場合はレイアウトの変更等をしていただくことになります。
過去にあった例では、非常階段に繋がる通路がサーバで塞がれていたようなケースです。なお、審査の合否ではなく実際にリスクコントロールの効果を上げるためには、レイアウトの変更や設備の入れ替えも考慮すべきテーマです。
レイアウト変更
まず、オフィスや工場のレイアウトを決める要素は、情報セキュリティだけではないということを認識することが大切です。併せて、情報セキュリティを構成する特性が機密性だけではないということもご認識ください。
例えば、企業文化、業務効率、設備の特性(サーバの排熱等)を無視することもできないということです。様々な要素を加味して、よりベターな選択をしていきましょう。
なお、情報セキュリティ的にも何を重視するかによって選択が変わってくることもありますので、ベターな選択というのは、組織によって変わってきます。
例えば、情報の機密性を担保するという観点では、外部から遮断されたスペースを設けることも重要ですが、監視という観点では疑問の余地があります。
設備投資
過去の事例では、審査の合否にかかわる理由だけで設備投資したケースは稀です。
ソフトのライセンス問題等コンプライアンス上の理由で投資が必要となるケースがあるので、ゼロではないということです。
一般的には、審査の合否ではなく、業務効率やマネジメントシステムの運用負荷を下げるために導入したケースがほとんどです。
例えば、来客が多く、毎日オフィスへの人の出入りが激しい組織が、入退室ログをノートへの手書きでの記帳ではなく、監視カメラで取得するようなケースです。
ご相談やお見積りは、下記の電話番号、
もしくはメールフォームにて承っております。
お気軽にご相談ください。
受付時間:平日 9:00~18:00