セキュリティを上げないISMS導入は可能か。【着想】

ISMSは、ある意味QMSより大変だと思います。 おなじISO規格なのに。
比較的早い段階で、「情報資産の棚卸」という大仕事があるからです。
大雑把にグルーピングすれば楽なのでしょうが、
あまり安易にそっちに走っちゃうと、無意味な活動になります。
情報資産の種類も絶対量も多い大企業では、本当に大変だと思います。
業態がシンプルであれば、量は多くても種類は少ないのかもしれませんが・・・
なんとか棚卸と評価を終え、そこに「これでセキュリティは万全だ!」というような
練りに練ったルールを適用しても、まだまだ苦労は絶えません。
「仕事がやりにくくなった!」という現場の声です。
これは精神的にきますね。
これがある意味最大の難所かも・・・  それに、ISMSを続ける限り終わることがありません。
そこでちょっと考えてみました。
現場の可用性を重視し、たいしてセキュリティが向上しなくても、
ISMSの認証を受けることは可能か?と。
つまり、ISMSを導入したからと言って、導入前の現場の実態を何も変えないのです。
「これは施錠管理しなさい」、「パスワードは×文字以上に変えなさい」みたいなことを、一切言わないのです。
ISO27001の4.2.1の、c)~g)において、リスクの評価も管理策の適用も、
基本的に「今やっていることを許容」するようにします。
そのように基準を設けても、やはり基準を超えるものはポロポロ出てくるでしょう。
それらは全部、残留リスクとして経営者が承認します。
そうすれば、現場はほとんどISMSの導入を意識することは無くなります。
最初の段階で情報資産の棚卸に協力しなくてはいけないぐらいで、
あとはほぼ関係ありません。
そんなISMSでは、セキュリティのレベルは全く向上しません。
その点は批判があるかもしれません。
しかし、確実に向上したと堂々と主張出来るものが、一つだけあります。
それは「マネジメントのレベル」です。
情報資産の棚卸や、何らかの基準による評価が行われていなかった頃は、
どこにどんなリスクがあるかも分からなかったはずです。
それが明らかになったということは、マネジメント上の大きな進歩のはずです。
(それらのリスクに「どう対処するか」は、別の問題です。)
今すぐに対処出来なくとも、「さすがにこれは、いずれはどげんかせんといかん。」
というモノも見えてくるはずです。
また、基準がが無かった頃は、部署ごとに(というか上司ごとに)
バラバラの指導が行われていたはずです。
ISMS導入により、それを統一することが出来ます。
そのため、厳密に言えば、現場の部署によっては
「今までより厳しくなった」とか、逆に「今までより甘くなった」という声が上がると思われます。
そのことへの不満は避けようがありませんが、
ダブルスタンダード状態が解消されたことを以って良しとしましょう。
現場の運用は何も変わらずとも、組織にとってはそのようなメリットがあるはずです。
それがISMSの本質であり、そこさえクリアしていれば認証は受けられるのではないか?
と、最近考えるようになりました。
はたして本当に可能かどうか、今後も検証していきます。

○山さんって・・・  誰?

先ほど帰宅すると、なんと郵便受けに「ねんきん特別便」が!
そんな歳じゃないはずですが・・・
よく見ると、住所は合ってますが名前が違う。
(最初の一文字だけ同じですが。)
きっと前の住人が転居の手続きをしていなかったのでしょう。
さもなくば、社保事務所の手続きミスか・・・
これって、かなり重大な個人情報の漏えいなのでは?
開封してないので詳しい内容は知りませんが、
センシティブ(機微)な個人情報に該当するはずです。
親展とは書いてありますが、書留にした方がいいのでは・・・
(それだけで何憶円もかかりますが。)
この手の情報漏えいは、日々日本中で起こっているのかもしれません。
転居の手続きはちゃんとしようと誓う柴田なのでした。
(もちろんちゃんと返送いたします。)