BCM(事業継続性マネジメント)、BCPは2011年3月11日の東日本大震災以降注目されるようになりました。
自然災害や、パンデミックなどの大規模な災害発生時にも事業継続を行なえるように、あるいは災害からの復旧を極力迅速に行なえるように、事前に計画を立てて災害発生に対応する準備を行なうものです。
大規模災害発生時には、どうしても情報セキュリティのような付随的に発生するリスクを見失いがちです。
その上、平時とは違った対応が要求されるために、その対策にも抜けが生じかねません。
事業継続性マネジメントにおける情報セキユリテイの管理策
情報セキュリティ継続の計画
- 組織は、困難な状況(adverse situation) (例えば、危機または災害)における、情報セキュリティ及び情報セキュリティマネジメントの継続のための要求事項を決定しなければならない
情報セキュリティ継続の実施
- 組織は、困難な状況の下で情報セキュリティ継続に対する要求レベルを確実にするための、プロセス、手順及び管理策を確立し、文書化し、実施し、維持しなければならない
情報セキュリティ継続の検証、レビュー及び評価
- 確立及び実施した情報セキュリティ継続のための管理策が、困難な状況の下で妥当かつ有効であることを確実にするために、組織は、定められた間隔でこれらの管理策を検証しなければならない
情報処理施設の可用性
- 情報処理施設は、可用性の要求事項を満たすために十分な冗長性をもって、導入しなければならない
災害が発生した場合の最優先事項は、人命の尊重です。
物理セキュリティ対策として入退室管理を実施していたとしても、火災や自然災害発生時には避難経路の確保が最優先で行なわれなければなりません。
また重要な情報は定期的にバックアップを取り、迅速な業務復旧に対応することも必要です。
遠隔地に同一のシステムを構築し、災害時に代替設備として利用するといった冗長構成も対策の一つとして考えられます。
大前提として、これらの対策は許容される投資の範囲内で決定される必要があります。
情報セキュリティの観点での管理策は、災害時でも確保すべき重要な情報資産を特定した上で、必要な対策と災害発生時の対応プロセス、手順などを決め、文書化することが求められます。
これらの対応策は定期的な訓練、あるいは訓練などを通じて改善していくことも必要です。
関連記事
情報セキュリティの人的・組織的対策① 組織の構造と情報セキュリティ
情報セキュリティの人的・組織的対策⑤ 法的、契約上の要求への対応
情報セキュリティの人的・組織的対策⑥ 人的資源の情報セキュリティ
情報セキュリティの人的・組織的対策⑦ 人的資源に対する管理策
情報セキュリティの人的・組織的対策⑧ 供給者関係の情報セキュリティ
情報セキュリティの人的・組織的対策⑨ 情報セキュリティインシデント管理