情報資産の識別もしないで管理も何もあったものじゃない。電子化された情報(ソフトコピー)と紙のままの情報(ハードコピー)では扱いは変わる。
<ハードコピー>
- 資産名(必須)
- 管理責任者(必須)
- 保管期限(推奨)
- 機密区分(必須)
- 保管場所
- 使用開始
- 管理部門(必須)
いまだに、「機密文書のラベルを貼るとわざわざ悪意の侵入者に機密文書の所在を教えるようなものだから識別しない」と言う真面目馬鹿の存在していることに驚く。一体、どういうリスク分析をやっているのだろう。
部外者の持ち出しを容易としないためだけなら機密と書かないで色か形を変えたシールでも充分だが、そういう知恵もなさそうだ。
それよりも部外者がアクセスできるところに不用意に機密文書を放置させないことが重要。放置するのは社員だから、確実に社員に注意喚起できなければ意味が無い。リスクは社員の取り扱いにこそあることを認識すべきだ。機密文書が一般文書の中に混じって流出することも懸念すべきだろう。
識別しない管理策もクライアントの無理解だけなら希にあることだが、審査員の中にも同様の発想をしているのがいるから驚き以上だ。適用宣言書でA.7.2.2を採用しておいて、そのことを自分で否定するのを勧めているのだからクライアントも不幸なことだ。
コンサルは取り敢えず傍観するだけです。
.*.
「識別しない」管理策を採用する組織の共通点は単に整理整頓が苦手なだけということもあるようだ。5S活動が不十分な怠け者たちは、自分たちを正当化するために分けの分からない「識別しない」管理策を持ち出す。
馬鹿な審査員が上乗りする。始末が悪い。ISOの分野を問わずよくある光景。
.*.