株式会社ISOサポートです。
2021年2月13日に、宮城県と福島県で最大震度6強を記録した地震が発生したことは記憶に新しいのではないでしょうか。
震源の場所や深さが、たまたま津波を引き起こすことはなかったそうですが、
東日本大震災から10年を迎える今年、
天災の恐ろしさを改めて思い起こさせられました。
さて、ISMS(ISO27001)では、
情報セキュリティマネジメントシステムの管理策の一つとして、
情報セキュリティ継続があります。
今回は、この情報セキュリティ継続に関連して、
2社のお客様の事例をご紹介したいと思います。
まずは、東京都のA社様のケースです。
A社様では、
情報セキュリティ継続リスクアセスメントを実施した際、
情報セキュリティ継続に多大な影響を与える要因として、
地震を含む天災が取り上げられていました。
このため、
2020年度(2020年4月〜2021年3月)の年間スケジュールの中には、
毎年2月に情報セキュリティ継続の検証を行うため、
地震の発生を想定した安否確認連絡や緊急連絡網の見直しを計画していました。
A社様では2月の第1週に、
この情報セキュリティ継続の検証を行い、
手順の見直しや、検証結果の記録の保存をなさっていたのですが、
2021年2月13日の地震発生時には、
安否確認連絡や経営陣への報告などをなさっていなかったそうです。
ご担当者様のお一人は、
情報セキュリティ継続に関する手順の存在を失念していたとのこと。
ご担当者様のもうお一人は、
情報セキュリティ継続に関する手順の存在は知っていたが、
発動する震度の基準が曖昧だったとのこと。
今回はたまたま影響はなかったものの、
場合によっては経営陣が事業継続および情報セキュリティ継続について説明を果たさなければいけない事態になっていたかもしれません。
A社様においては、
情報セキュリティ継続に関する手順の管理方法の見直しと、
どのような状況になったら手順を発動するのか、その基準の明確化をお話させていただきました。
次にご紹介するのは、東京都のB社様のケースです。
B社様では、
情報セキュリティ継続リスクアセスメントを実施した際、
情報セキュリティ継続に多大な影響を与える要因はないと評価されていました。
このため、
年間スケジュールの中にも情報セキュリティ継続の検証については計画されていませんでした。
しかしB社様では、
2021年2月13日の地震発生翌朝には、
経営陣含め数人の従業員が出社し、
オフィスの保全確認や機材の稼働確認をされ、
全従業員に向けた報告がなされたそうです。
出社された従業員のお一人は、
普段、チャットツールを用いて社内コミュニケーションを図っているが、
いざという時には他の従業員の電話番号も把握しておいたほうがよいと感じられたそうです。
B社様においては、
情報セキュリティ継続リスクアセスメントを改めて実施することをおすすめさせていただきました。
両極端な2つのお客様の事例ですが、
翻って皆様の会社ではいかがでしょうか?
ISMS(ISO27001)の情報セキュリティ継続に関連して、
見直しを検討しておられる方は、
株式会社ISOサポートの
ISMS(ISO27001)認証取得+取得後サポートコンサルティングは
こちらをご覧ください。
