審査員が明かす、ISMSを定着させる必須ポイント：これがなければ始まらない？ ISO27001取得への道（3/3 ページ）

[富永康信（ロビンソン），ITmedia]

維持および改善のフェーズの【処置（Act）】

ポイント：ISMS自体と管理策それぞれの有効性の評価方法が確立されていること

　経営陣にISMSをレビューしてもらうためのインプットの中に、ISMSおよび管理策の有効性の評価結果が要求されている（管理策4.2.3b）。これらの項目から、どのように判断し、どんなレベルのISMSなのかが分かるようになっていることが望ましい。

（例）

項目	評価内容
ISMS内部監査の結果	××件以内の報告
インシデントの発生	×件以内の発生
管理策の有効性の評価結果	平均のレベル××以内に収まっていること
改善の提案	×××に対する情報セキュリティの提案、およびそれによるISMSの改善度合いが高いこと

　「ISMSは通り一辺倒なやり方を求めるものではない」という松下氏は、この組織では、このやり方が誰しも有効性を評価できるというものが存在するならば、審査では有効と判断しやすいという（図3）。

図3●認証申請から「ISO/IEC 27001:2005」認証取得するまでのプロセス（出典：テュフズードジャパン）［クリックで拡大］

　「そこに、組織自身の取り組み方が垣間見え、組織の文化が色濃く反映される部分と言える。改善提案のために利用するISMSおよび管理策の有効性の測定項目などは、業務ノウハウによるアイデア次第。ISMSを効果的に運用させるためには、今まで組織が取り組んできた仕組みを、ISMSというツールで取り組んでいくとどうなるかという観点で考えるとよいだろう」（松下氏）

自分たちの組織は自分たちで守るというチームワーク

　事務局が中心となってプロジェクトを進めるのは良いことなのだが、認証取得審査で問題となるのは、二次審査直前になって組織に展開しようとすること。事務局が付きっきりでないと現場が答えられないという事態もあるという。

　反対に、早くから現場ぐるみで取り組んでいると、自分たちが何をすれば組織の情報セキュリティに貢献できるのかを理解しているので、期待した通りの答えが出るという。

　松下氏は、「コンサルタントや事務局頼みにはせず、自分たちの組織は自分たちで守るというチームワークをもって構築から運用まで取り組むことが、認証取得のために最も重要」と語る。改善を繰り返すことによって、情報セキュリティの文化が着実に定着すれば、それが組織にとって大きな財産になる。その1つのツールとして、ISMSを考えるべきだろう。