カテゴリー: セキュリティマネジメント（ISO27001 , Pマーク）

前々回、2009年11月14日投稿の　「セキュリティを上げないISMS導入は可能か。【着想】」　に
鋭いコメントをいただきましたので、その視点で検証をしてみたいと思います。
※この「セキュリティを上げないISMS～」シリーズは、
　「楽に認証を受けること」を主題としたものではありません。
　セキュリティのレベルを上げることだけを考えて
　現場の業務において無駄な苦労を産んでしまうことを避けることが主題です。
【教育】
ＱＭＳについても言えることですが、「必要な力量」を決定するって、結構難しいことですね。
おそらく、「どの程度まで具体的に定めればよいのか？」と頭を抱えている企業も多いことでしょう。
が、それはまた別の機会に論じたいと思います。
ただ、「組織全体での教育」という活動自体、
品質はともかくセキュリティについて、ISMS導入前にすでにやっている企業は少ないと思います。
たとえ現場の可用性を重視し、（導入前より）ルールを厳しくしないISMSであっても、
情報資産の棚卸同様、イチから始めなくてはいけない活動です。
マネジメントする側にとっては「新たな負担」です。
ですが、「必要な力量」を、現場の実情から乖離しないように設定すれば、
「必要な力量が持てるように施す訓練」も過剰にならないでしょうから、
現場への負担を最小限に抑えることが出来ます。
【内部監査・マネジメントレビュー】
どちらかというと現場ではなく「マネジメントする側」の問題なので、
前々回は特に取り上げませんでした。
ただ、内部監査は嫌が応にも現場が関わることになりますので、
それを最小限に抑える手法を考えてみます。
規格は、内部監査で現場を監査することを要求してはいません。
そこで、内部監査の主たる対象を、現場ではなく現場の管理職に絞ってみてはどうでしょう。
マネジメントシステムは文字通り、マネジメントのためのシステムなのですから、
現場をちゃんとマネジメントしているか、出来ているか、それで成果が上がっているかは、
現場をマネジメントしている管理職を対象に監査するのが筋のはずです。
現場を対象に内部監査を実施し、現場がルールを守っているかを監査する企業もあるようですが、
（それがいけないとは言いませんが、）
本来それは現場の管理職が日常的にやっていなければいけないことですので、
内部監査でやらなくてもいいはずです。
もっとも、全く現場を見ない内部監査と言うのもどうかと思うので、
現場の管理職への監査を補足する形で、少しだけ現場に協力していただく必要はあります。
早い話が、審査機関による認証審査、定期審査と同じスタイルを採用するということです。
＜次回予告＞
　【133の管理策】 【管理策の有効性の測定】 を扱います。

前回記事の補足です。まずはこちらからご覧ください。
もともと、セキュリティに「絶対」なんて無いんです。
どこまで厳重なセキュリティ体制を布くかは、相対的な問題でしかありません。
ＩＳＭＳが求めているのは、「今より厳しく、もっと厳しく、さらに厳しく」ではありません。
そんなこと、要求事項のどこにも書いてありません。
それどころか、「可用性の喪失も考慮しなきゃ駄目よ。」と明記されています。
すでに厳しすぎるＩＳＭＳを構築してしまった企業においても、
現場からの「やりにくくなった」という声を反映し、大幅にルールを緩和することは可能のはずです。
審査員から何か言われたら、
「これまでは可用性を軽視し過ぎていた。だからそこを改善した。これがＩＳＭＳの継続的改善だ。」
と主張してみてはいかがでしょうか。
審査員によっては、
「こんなにセキュリティの甘い受審企業は初めて見た。」みたいな文句を付けてくるかもしれません。
その場合は、規格を盾に抵抗しましょう。
審査員だって人間ですから、多少の思い込みはあります。
でも、審査は規格に基づいて行われなくてはいけません。
「審査員様がこうおっしゃっている！仰せの通りにしなくては！」
みたいに受け止める必要は、皆無です。
（事務局が自社の現場も規格の意図もよく理解していと、往々にしてそうなります。
特に、事務局が総務事務部門の片手間として運営されている場合は、陥りやすいと思います。）
管理責任者も事務局も、会社からお給料をもらっているんであって、
審査機関のために働いているのではありませんからね。
そもそも、「ＩＳＭＳ認証を取得するか否か」という判断だって、
企業にとっては経営上の選択肢でしかありません。
審査員の顔色をうかがうことはせず、自社のための仕事をしようじゃないですか！
（ちょっとストレス発散）

ＩＳＭＳは、ある意味ＱＭＳより大変だと思います。　おなじＩＳＯ規格なのに。
比較的早い段階で、「情報資産の棚卸」という大仕事があるからです。
大雑把にグルーピングすれば楽なのでしょうが、
あまり安易にそっちに走っちゃうと、無意味な活動になります。
情報資産の種類も絶対量も多い大企業では、本当に大変だと思います。
業態がシンプルであれば、量は多くても種類は少ないのかもしれませんが・・・
なんとか棚卸と評価を終え、そこに「これでセキュリティは万全だ！」というような
練りに練ったルールを適用しても、まだまだ苦労は絶えません。
「仕事がやりにくくなった！」という現場の声です。
これは精神的にきますね。
これがある意味最大の難所かも・・・　　それに、ＩＳＭＳを続ける限り終わることがありません。
そこでちょっと考えてみました。
現場の可用性を重視し、たいしてセキュリティが向上しなくても、
ＩＳＭＳの認証を受けることは可能か？と。
つまり、ＩＳＭＳを導入したからと言って、導入前の現場の実態を何も変えないのです。
「これは施錠管理しなさい」、「パスワードは×文字以上に変えなさい」みたいなことを、一切言わないのです。
ISO27001の4.2.1の、c)～g)において、リスクの評価も管理策の適用も、
基本的に「今やっていることを許容」するようにします。
そのように基準を設けても、やはり基準を超えるものはポロポロ出てくるでしょう。
それらは全部、残留リスクとして経営者が承認します。
そうすれば、現場はほとんどＩＳＭSの導入を意識することは無くなります。
最初の段階で情報資産の棚卸に協力しなくてはいけないぐらいで、
あとはほぼ関係ありません。
そんなＩＳＭＳでは、セキュリティのレベルは全く向上しません。
その点は批判があるかもしれません。
しかし、確実に向上したと堂々と主張出来るものが、一つだけあります。
それは「マネジメントのレベル」です。
情報資産の棚卸や、何らかの基準による評価が行われていなかった頃は、
どこにどんなリスクがあるかも分からなかったはずです。
それが明らかになったということは、マネジメント上の大きな進歩のはずです。
（それらのリスクに「どう対処するか」は、別の問題です。）
今すぐに対処出来なくとも、「さすがにこれは、いずれはどげんかせんといかん。」
というモノも見えてくるはずです。
また、基準がが無かった頃は、部署ごとに（というか上司ごとに）
バラバラの指導が行われていたはずです。
ＩＳＭＳ導入により、それを統一することが出来ます。
そのため、厳密に言えば、現場の部署によっては
「今までより厳しくなった」とか、逆に「今までより甘くなった」という声が上がると思われます。
そのことへの不満は避けようがありませんが、
ダブルスタンダード状態が解消されたことを以って良しとしましょう。
現場の運用は何も変わらずとも、組織にとってはそのようなメリットがあるはずです。
それがＩＳＭＳの本質であり、そこさえクリアしていれば認証は受けられるのではないか？
と、最近考えるようになりました。
はたして本当に可能かどうか、今後も検証していきます。