Information Security Management System
- ISO27001 -
|
|
|
|
★☆ 規格 ☆★ |
| 規格本文 |
| 管理目的と管理策 |
| テンプレート |
★☆ 構築計画 ☆★ |
| 考察:なぜISMSか |
| 考察:展開アプローチ |
| 考察:上がりのイメージ |
| 現状調査 |
| 取り組み事例 |
★☆ リンク ☆★ |
| ホーム |
| セキュリティ事件事故 |
| 適用範囲 |
★☆ Profile ☆★ |
|
|
Dandelion
SINCE2006
ISMS構築アプローチ
規模のある企業で全社で一つのISMSを構築した事例は少ない。一方で、ISO27001は適用範囲から除外する場合、妥当な理由付けを要求している。ISO9001の適用範囲の考え方と同じ。
品質はプロセスの区切りで管理を区切ることができるが、情報セキュリティは共通の情報インフラを利用しているため、インフラ自体が明確に区切られていない限り除外することの正当性は説明し難い。
そのような中で起きていることはオセロゲーム。飛び地だった適用範囲が一つに纏まる時がきた。複数の方法論が並存していたが、一つの統一的な方法論に集約されるのだ。
事例は既にいくつも出ている。JIPDECの認証取得企業の様子を特に推移をしっかり見れば分かります。経営者が真剣に取り組むところでは統合のスピードは速い。一方☆ISMSを縮小したり分割した事例はきわめて少ない。経営者の無能を表明するようなものです。
Integrated Management System
仮想的マネジメントモデルの時代へ
考察:ISMSは「1組織1ISMS」に向かう。
部分的なISMS構築から拡大させていくアプローチの評価:
殆んどの企業が部分→全体へのアプローチを取っている。いきなり全社ISMSを構築するのは事例があっても数百人規模以下の組織が殆んど。
理由は、工程能力の不足すること、意識改革が伴うので伝播には時間が掛かることなどにより着地が遅れる。ノウハウ・スキルが不足したまま全社で構築するのではリスクが大きいこと。
事例1:名目は拡大だが一斉に全社取得。但し2年先行して情報システム部門がISMS認証取得し経験者が情報セキュリティ部に異動して全体を推進。グループ各社は情報漏えい事故を契機に地域会社全体にISMS取得を要請している。
事例2:先行部門はがっちりISMSを構築したが一般部門も入る全社展開ではリスクアセスのやり方まで見直している。簡易な方法に切り替え。レベルダウンを敢えて選択した。
順次拡大のアプローチは着地(運用開始)が早く、PDCAサイクルを回すことで現場主導型の改善が進めやすい。 全社一斉型は、事務局・コンサルが推進する形になって現場に根付くのが返って遅れる懸念がある。
<結論1>順次拡大のアプローチ自体については疑問はない。
ステップを踏む場合の留意点
(懸念)
サブセットから統合する場合、既存の仕組みで継承できるものと継承できないものはどのように切り分けるか。要するに無駄作業はどの程度かを把握しておきたい。
適用範囲変更によるISMS既存部分への影響評価
(拡大部分の作業量評価ではない)
|
規格要求 |
拡大時の変更の有無 |
拡大による既存の活動への影響の内容(無駄の度合い) |
度合 |
|
|
適用範囲 |
作り変え。 |
既存部分への影響は小さいが、全体の整合があるので結局作り変えになる。 |
中 |
|
|
方針 |
作り変え。 |
作り変えでも作業量自体は小さい。経営者変更による調整負荷は出る。 |
小 |
|
|
リスクアセスメント方式 |
必要に応じて改善。 |
リスクアセス自体は毎年実施するため影響は小さい。既存の帳票・ツールの流用は難しくなるケースあり。 |
中〜大 |
|
|
文書管理 |
管理策 |
追加部分への管理策の具体化。既存部分は必要に応じて改善。 |
既存部分の管理策と新規の管理策の間の整合を測る必要あり。影響の度合いはケースバイケース。 |
大 |
|
経営者の責任 |
体制 |
変更。 |
作り変えでも作業量自体は小さい。経営者変更による調整負荷は出る。 |
中 |
|
資源 |
|
直接の影響は小さい。 |
小 |
|
|
教育 |
追加変更。 |
既存部分は変更分のみで、影響は小さい。 |
小 |
|
|
内部監査 |
|
|
小 |
|
|
マネジメントレビュー |
|
|
小 |
|
|
是正予防 |
エスカレーションプロセスは見直し。 |
直接の影響は小さい。 |
小 |
|
オセロゲームの進め方
Stage 0
各部門/各関連企業がそれぞれのニーズでISMS構築。
Stage 1
情報システム部門がISMS構築。インタフェースの形で部門/関連企業の役割を再定義。全社のISMS基本規定を策定・発行。
Stage 2
ISMS構築未了部署への展開。複数のISMSは残る。ISMS相互にインタフェースの管理策にてセキュリティを確保。インタフェースの管理策の中で矛盾の解消は勧めること。
Stage 3
全社統合ISMS。全部門が適用範囲。関連会社はインタフェースによる管理策。各関連会社もそれぞれにISMS構築。この団塊で最終的な淘汰がされる。
*
情報システム部門の全社ISMSにおける位置づけ
情報マネジメントのコア部分を管轄しているので、ここが先行していないとどの部署のISMSも基本的な要件が欠けることになる。情報管理あるいは情報システム管理の基本的な手順を各部署で用意することは出来ない。PDCAが効果的に回せない。どの組織であっても、先ず、最初にISMSを構築すべき部署。実際にも殆んどの企業は第一次(初回)、第二次(拡大・更新)など早い段階で組み入れている。
この時勢、情報システム部門のISMSに真っ先に取り組まないCIOは既にCIOとして失格と言って良い。
*
統合ISMSへのロードマップ
考えられる適用範囲の拡大方法
1. 所在地(エリア)を拡大する
1.1.本社事業所
1.2.基幹事業所
1.3.各展開先拠点を含む全社全部門2. 組織/事業を拡大する
2.1.本社(全体を推進する情報セキュリティ部門、情報システム部門、その他統括部門)
2.2.各カンパニー部門
2.3.関連会社3. 技術(情報システム)を拡大する
3.1.情報基盤サービス
3.2.基幹業務システムサービス
推奨案:基盤・統括部門先行アプローチ
ステップ1:基盤のISMS
ステップ2:基幹業務システム及び本社統括部門のISMSの追加
ステップ3:拠点事業所のISMSの追加
ステップ4:全社全部門のISMS(例外的に取りこぼしていたものも吸収)
既にISMS構築済みの組織についてはステップ3またはステップ4で統合。又、既に着手しているJSOX法対応は順次ISMS管理体系の中に汲み上げていく。
適用範囲展開策
|
展開 |
Stage 0 |
Stage 1 |
Stage 2 |
Stage 3 |
|
時期 |
混乱期 |
1年かけて構築 |
2年かけて全域カバー |
1年かけて統合 |
|
活動内容 |
事業部門の事情で個別に活動。 |
コアとなる情報システム部門のISMS構築 |
コア部門と既存部門の並存。 |
全社統合の1つのISMS。 |
|
推進体制 |
部門別推進体制 |
全社連絡会 |
全社ISMS推進体制 |
|
★☆ 認定機関 ☆★ |
|
|
|
|
|
|
★☆ 認証機関 ☆★ |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
★☆ 海外リンク ☆★ |
 |
