セキュリティを上げないISMS導入は可能か。【補足】

前回記事の補足です。まずはこちらからご覧ください。
もともと、セキュリティに「絶対」なんて無いんです。
どこまで厳重なセキュリティ体制を布くかは、相対的な問題でしかありません。
ISMSが求めているのは、「今より厳しく、もっと厳しく、さらに厳しく」ではありません。
そんなこと、要求事項のどこにも書いてありません。
それどころか、「可用性の喪失も考慮しなきゃ駄目よ。」と明記されています。
すでに厳しすぎるISMSを構築してしまった企業においても、
現場からの「やりにくくなった」という声を反映し、大幅にルールを緩和することは可能のはずです。
審査員から何か言われたら、
「これまでは可用性を軽視し過ぎていた。だからそこを改善した。これがISMSの継続的改善だ。」
と主張してみてはいかがでしょうか。
審査員によっては、
こんなにセキュリティの甘い受審企業は初めて見た。」みたいな文句を付けてくるかもしれません。
その場合は、規格を盾に抵抗しましょう。
審査員だって人間ですから、多少の思い込みはあります。
でも、審査は規格に基づいて行われなくてはいけません。
「審査員様がこうおっしゃっている!仰せの通りにしなくては!」
みたいに受け止める必要は、皆無です。
(事務局が自社の現場も規格の意図もよく理解していと、往々にしてそうなります。
特に、事務局が総務事務部門の片手間として運営されている場合は、陥りやすいと思います。)
管理責任者も事務局も、会社からお給料をもらっているんであって、
審査機関のために働いているのではありませんからね。
そもそも、「ISMS認証を取得するか否か」という判断だって、
企業にとっては経営上の選択肢でしかありません。
審査員の顔色をうかがうことはせず、自社のための仕事をしようじゃないですか!
(ちょっとストレス発散)

セキュリティを上げないISMS導入は可能か。【着想】

ISMSは、ある意味QMSより大変だと思います。 おなじISO規格なのに。
比較的早い段階で、「情報資産の棚卸」という大仕事があるからです。
大雑把にグルーピングすれば楽なのでしょうが、
あまり安易にそっちに走っちゃうと、無意味な活動になります。
情報資産の種類も絶対量も多い大企業では、本当に大変だと思います。
業態がシンプルであれば、量は多くても種類は少ないのかもしれませんが・・・
なんとか棚卸と評価を終え、そこに「これでセキュリティは万全だ!」というような
練りに練ったルールを適用しても、まだまだ苦労は絶えません。
「仕事がやりにくくなった!」という現場の声です。
これは精神的にきますね。
これがある意味最大の難所かも・・・  それに、ISMSを続ける限り終わることがありません。
そこでちょっと考えてみました。
現場の可用性を重視し、たいしてセキュリティが向上しなくても、
ISMSの認証を受けることは可能か?と。
つまり、ISMSを導入したからと言って、導入前の現場の実態を何も変えないのです。
「これは施錠管理しなさい」、「パスワードは×文字以上に変えなさい」みたいなことを、一切言わないのです。
ISO27001の4.2.1の、c)~g)において、リスクの評価も管理策の適用も、
基本的に「今やっていることを許容」するようにします。
そのように基準を設けても、やはり基準を超えるものはポロポロ出てくるでしょう。
それらは全部、残留リスクとして経営者が承認します。
そうすれば、現場はほとんどISMSの導入を意識することは無くなります。
最初の段階で情報資産の棚卸に協力しなくてはいけないぐらいで、
あとはほぼ関係ありません。
そんなISMSでは、セキュリティのレベルは全く向上しません。
その点は批判があるかもしれません。
しかし、確実に向上したと堂々と主張出来るものが、一つだけあります。
それは「マネジメントのレベル」です。
情報資産の棚卸や、何らかの基準による評価が行われていなかった頃は、
どこにどんなリスクがあるかも分からなかったはずです。
それが明らかになったということは、マネジメント上の大きな進歩のはずです。
(それらのリスクに「どう対処するか」は、別の問題です。)
今すぐに対処出来なくとも、「さすがにこれは、いずれはどげんかせんといかん。」
というモノも見えてくるはずです。
また、基準がが無かった頃は、部署ごとに(というか上司ごとに)
バラバラの指導が行われていたはずです。
ISMS導入により、それを統一することが出来ます。
そのため、厳密に言えば、現場の部署によっては
「今までより厳しくなった」とか、逆に「今までより甘くなった」という声が上がると思われます。
そのことへの不満は避けようがありませんが、
ダブルスタンダード状態が解消されたことを以って良しとしましょう。
現場の運用は何も変わらずとも、組織にとってはそのようなメリットがあるはずです。
それがISMSの本質であり、そこさえクリアしていれば認証は受けられるのではないか?
と、最近考えるようになりました。
はたして本当に可能かどうか、今後も検証していきます。

○山さんって・・・  誰?

先ほど帰宅すると、なんと郵便受けに「ねんきん特別便」が!
そんな歳じゃないはずですが・・・
よく見ると、住所は合ってますが名前が違う。
(最初の一文字だけ同じですが。)
きっと前の住人が転居の手続きをしていなかったのでしょう。
さもなくば、社保事務所の手続きミスか・・・
これって、かなり重大な個人情報の漏えいなのでは?
開封してないので詳しい内容は知りませんが、
センシティブ(機微)な個人情報に該当するはずです。
親展とは書いてありますが、書留にした方がいいのでは・・・
(それだけで何憶円もかかりますが。)
この手の情報漏えいは、日々日本中で起こっているのかもしれません。
転居の手続きはちゃんとしようと誓う柴田なのでした。
(もちろんちゃんと返送いたします。)