セキュリティマネジメントを実現する具体的な方法をイメージできるだろうか? ここでは、ISO27001を取得するための重要なポイント、PDCAサイクルに必要な要素をISO27001の審査員がアドバイスする。
このコンテンツは、オンライン・ムック「運用管理の過去・現在・未来」のコンテンツです。関連する記事はこちらでご覧になれます。
前回に引き続き、今回はISMS(Information Security Management System)を確立するための重要なポイントを解説する。ISO27001の審査員のアドバイスを基に、計画(確立)、導入および運用、監視レビュー、維持および改善のサイクルに必要な要素を紹介したい。
ISMSの確立は、次の3つのフェーズで実施することができる(図1)。
また、その取り組みには、計画(確立)、導入および運用、監視レビュー、維持および改善のサイクルを回すPDCAアプローチが推奨されている(図2)。それによって、個々のつながりや相互作用を管理し、ISMSをより有効に作用させることができる。
テュフズードジャパン マネジメントサービス部 ISO27001(ISMS)主任審査員の松下勉氏は、そのPDCAの実施に際して重要となるポイントを示している。次にそれを順に挙げよう。
まず、計画時には、プロジェクトのスケジュールや責任者、事務局のメンバー、開始日と完了日などを決めることによって、具体的に何を、いつまでに、誰が進捗管理を実施するのかを明確にする。
ただし、新しく組み込まれる型枠や、まったく異なった業務という取り組み方では失敗するという。今までの業務にどうやって合わせ込むかを考えることが重要となる。
とかく、コンサルタントや事務局が作成したISMSの基本方針はありがちな文章に見え、現場や取引先のモチベーションを低下させる。そのため、自分の組織がどのような危機感を持ってリスクにいかに取り組むか、あるいは取引先にどんな信頼感を与え、継続的改善への方針を示すか、経営陣自らの言葉で発することで、経営陣の推進力や情報セキュリティへの積極的な取り組みを示すことが重要だ。
社員のヤル気をどうやって喚起するかも重要。コンサルタントや事務局が規格を理解していればよいという考えを正し、「情報セキュリティを実際に実施するのは現場だ」ということを認識させる。社内勉強会やセミナーを開催して基本知識の底上げをすることも必要だろう。
Copyright © ITmedia, Inc. All Rights Reserved.