セキュリティを上げないISMS導入は可能か。【着想】

ISMSは、ある意味QMSより大変だと思います。 おなじISO規格なのに。
比較的早い段階で、「情報資産の棚卸」という大仕事があるからです。
大雑把にグルーピングすれば楽なのでしょうが、
あまり安易にそっちに走っちゃうと、無意味な活動になります。
情報資産の種類も絶対量も多い大企業では、本当に大変だと思います。
業態がシンプルであれば、量は多くても種類は少ないのかもしれませんが・・・
なんとか棚卸と評価を終え、そこに「これでセキュリティは万全だ!」というような
練りに練ったルールを適用しても、まだまだ苦労は絶えません。
「仕事がやりにくくなった!」という現場の声です。
これは精神的にきますね。
これがある意味最大の難所かも・・・  それに、ISMSを続ける限り終わることがありません。
そこでちょっと考えてみました。
現場の可用性を重視し、たいしてセキュリティが向上しなくても、
ISMSの認証を受けることは可能か?と。
つまり、ISMSを導入したからと言って、導入前の現場の実態を何も変えないのです。
「これは施錠管理しなさい」、「パスワードは×文字以上に変えなさい」みたいなことを、一切言わないのです。
ISO27001の4.2.1の、c)~g)において、リスクの評価も管理策の適用も、
基本的に「今やっていることを許容」するようにします。
そのように基準を設けても、やはり基準を超えるものはポロポロ出てくるでしょう。
それらは全部、残留リスクとして経営者が承認します。
そうすれば、現場はほとんどISMSの導入を意識することは無くなります。
最初の段階で情報資産の棚卸に協力しなくてはいけないぐらいで、
あとはほぼ関係ありません。
そんなISMSでは、セキュリティのレベルは全く向上しません。
その点は批判があるかもしれません。
しかし、確実に向上したと堂々と主張出来るものが、一つだけあります。
それは「マネジメントのレベル」です。
情報資産の棚卸や、何らかの基準による評価が行われていなかった頃は、
どこにどんなリスクがあるかも分からなかったはずです。
それが明らかになったということは、マネジメント上の大きな進歩のはずです。
(それらのリスクに「どう対処するか」は、別の問題です。)
今すぐに対処出来なくとも、「さすがにこれは、いずれはどげんかせんといかん。」
というモノも見えてくるはずです。
また、基準がが無かった頃は、部署ごとに(というか上司ごとに)
バラバラの指導が行われていたはずです。
ISMS導入により、それを統一することが出来ます。
そのため、厳密に言えば、現場の部署によっては
「今までより厳しくなった」とか、逆に「今までより甘くなった」という声が上がると思われます。
そのことへの不満は避けようがありませんが、
ダブルスタンダード状態が解消されたことを以って良しとしましょう。
現場の運用は何も変わらずとも、組織にとってはそのようなメリットがあるはずです。
それがISMSの本質であり、そこさえクリアしていれば認証は受けられるのではないか?
と、最近考えるようになりました。
はたして本当に可能かどうか、今後も検証していきます。

“セキュリティを上げないISMS導入は可能か。【着想】” に2件のコメントがあります

  • SECRET: 0
    PASS: db0d3294781f0db203a00992425dfd3b
    ISMS認証を一部組織が受けています。また、一時期ISMSのある認証機関にいたことがあります。その観点からのコメントです。ISMSにはQMSなどにない管理策が(133)ありますが、これがやっかいです。管理策を採用した理由、採用しなかった理由を明らかにする必要があります。
    また、事業継続管理・コンプライアンス(管理策の選択範囲ですが実質これは必須になっている)、教育、内部監査、マネージメントレビューなどしっかりやっていないとマネージメントシステムとして認められないはずです。
    ISMSは決して楽して認証はうけられないと思います。(他のQMS、EMSなどのマネージメントシステムも同じですが)

  • SECRET: 0
    PASS: 74be16979710d4c4e7c6647856088456
    鈴木昌則 さん
    コメント有難うございます。
    レスは次回の投稿を持ってかえさせていただきます。
    (週末に書く予定です。)
    今後ともよろしくお願いします。

コメントは停止中です。