◆ セキュリティをやると言うこと
一概にセキュリティをやると言っても中身はばらばら。
セキュリティ技術の導入(計画・調達・導入・運用)
セキュリティ鑑査
セキュリティ渉外(事件・事故の受付からフォロー)
セキュリティマネジメントシステムの導入(構築・運用)(文書化、チーム運営、。)
◆ トレーサビリティ
ISO27001 4.3.1一般 文書は、活動が経営陣の決定及び基本方針まで追跡可能であり、記録された結果が再現可能なこと・・・
英語はTRACEを使っている。
→意味的には「基本方針と結果の記録の間の必然性を双方向で確認できること」。記録対象はISMSの枠組みに収まるものと考える。一般の例えば品質記録も情報資産の位置づけでは管理対象であるがISMS基本方針との関連付けでのトレーサビリティ要求よりはむしろQMSサイドのトレーサビリティ要求に答える内容であることが求められる。
ISO20000 10.1リリース管理プロセス リリースにおける1つまたは複数の変更を、稼働環境に配送し、配布し、追跡する。
英語はTRACKを使っている。
→意味的には「変更が正しく必要な終端まで行われたかを追跡すること」。変更管理が意図通りに行われていることを追跡しなさいと言う具体的な規格要求であり、その為の記録類はISMS適用範囲に収まるものとなり、方針、リスクアセスメント、管理策など一連の関連付けは必要になる。
(問い) 通信キャリアが事前の予定に無く、通信を停止する時に、「停止しても問題がないか事前に関係部署に問い合わせ、問題が無ければ停止を承認する」手続きを踏むのはどういう管理策か。
解答1: 予定外の停止であり、運用計画に対する変更であるから、「変更管理」。
解答2: システムの変更でもないし運用の基本ルールの変更でもない。通常の運用の範囲での停止行為だから、単に「運用手順の管理策」。
規格のISO20000を見てもISO27001を見てもピンと来ない。