情報システム部が適用範囲外。で如何する?
何処の会社も命運は情報システム部が握っていると言っても過言ではない。ところが、情報システム部に”ぴかいち”の人材が配されることは先ず有りません。事業部門とか営業部門とかの花形部門で勤まらなくなった人たちの納まり先という側面が残る。コミュニケーションが不得意な人は物を触っていろということかな。
情報システム部ぐらいストレスの多い部門はない。バックオーダーが積み上がって、いつの間にか全社で一番の金食い部門になる。そして権力まで持つようになっている。会社の中のお役所と警察を一緒にしたような嫌われ部門になっている。態度は横柄で傍若無人。「ISMS?そんなもんやっている暇なんか有りません!」ときっぱり拒否してくる。馬鹿につける薬はありません。
逆もある。率先してISMSに取り組みところもある。情報システム部門トップのマネジメント脳がどうなっているかに左右される。CIOとCISOとかを置く企業はまだ望みはあるが、ただただ忙しいだけの一部門の場合はISMSへの取り組みは先ず期待できない。
.*.
情報システム部門が適用範囲に入らないISMSが出来上がる。
.*.
情報インフラを管理しないある事業部門が適用範囲になる。電子情報をどのように守るかは、責任ある対応は無理。情報システム部というブラックボックスに依存する。資産は理解しても、脅威も脆弱性も理解できない。馬鹿げた構造になるわけだ。
似たようなことが今流行している。クラウド。情報システム部門サービスが外部に行くわけだ。自分たちの情報資産の管理を他人に委ねるのは、適用範囲外の情報システム部に依存するのと同じ構造だ。
経産省のガイドラインはクラウド事業者にもISMS取得を期待していたと思う。
ISMS取得企業が情報システム部門を適用範囲外に置くのは犯罪的?は言い過ぎとしても、経営者の姿勢は非難されてもいいだろう。ISMS取得と相反することをやっているんだから。情報セキュリティマネジメントにもっとも重要な部署を外して情報セキュリティマネジメントをやりますなんて世間をおちょくっている。
.*.
「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」(経産省)を参考に管理していくしかないでしょう。全く馬鹿げたことです。
.*.