ISO27001内部監査員養成研修会に参加してきました

こんにちは。上田です。

つい先日、ISO27001(ISMS:情報セキュリティマネジメントシステム)の内部監査員養成研修会に参加してきました。2日間コースで、初日はISO27001要求事項と管理策の解説、2日目は内部監査の手順解説、内部監査のシミュレーションを実施しました。

当社の認証取得を目指していた頃はコンサルティングを受けて、当社現運用にご配慮を頂いたこともあってか自己流が多いと感じておりました。講師の方はセミナー冒頭で言っておられましたが、ISO要求事項は記述内容の解釈が人それぞれ違うとのことで、自己流でもISO要点だけ抑えていれば取得はできるとの事でした。私個人的にISMS管理責任者も担当しておりますし、一般的な運用方法が聞きたいとも思っていたので、セミナーで色々とお話が聞けて良かったです。

ちなもに、自己流の例として「パフォーマンス評価」が挙げられます。
一般的だと内部監査直前に、パフォーマンス評価週間など場を設け、ISO27001要求事項や管理策をまとめて監視評価するかと思います。当社は毎週会議の際に要求事項や管理策の項番いくつか(最低1つ)を選択してパフォーマンス評価を行います。なお、当社の内部監査は年1回です。一般的な方法でまとめてパフォーマンス評価しても良いのですが、そうすると各社員に対しての時間拘束が長くなってしまいます。当社は毎週会議を行っておりますので、その時にコツコツと実施しております。社長も含めて、不適合や観察事項、充実事項も評価します。特に不適合が発生した場合はその場で是正処置を進めて行きます。これによって悪い所を早期に発見・解決するシステムを実現しております。良い所が見つかったら社内皆さんへ情報共有します。

講師の方はISOマーク取得するだけの形でなく、ISO27001のマネジメントシステムを有効活用し、経営も現場もPDCAサイクル【改善(Action)】を率先して欲しいと強く訴えかけられておりました。その点において、実は上記の自己流が外部監査員から大変良い評価を頂いておりまして、経営層も現場層も全体的に意識高く【改善】を率先されているとの高い評価でした。セミナーで一般的な運用も聞きましたが、この点は自己流の方が安心しました。

他に講師の方は【リスク】を隈なく認識・特定すること、それと相反する【機会】も大事にして下さいとも訴えかけられておりました。ISO9001や14001にも共通して【リスク】と【機会】があります。ISO9001や14001は【リスク】も【機会】も重視するようなっておりますが、ISO27001は従来から【リスク】だけ重視されており、【機会】はあまり重視されておりません。最近は【機会】も重視する方向に進んでいるようです。

【リスク】はしっかり認識する事で【対策】が生まれるので、【対策】が漏れないよう【リスク】を隈なく認識・特定することが大前提になります。一方【機会】はISO用語集から「好ましい方向への乖離への対応」と難しく解釈されておりますが、上記のような【対策】を講じることによって前向きな考えを行うと理解しました。ISO9001で簡単に言えば「品質上がることで売上が比例して上がる」などです。前向きな考え方を共有することで経営層も現場層も全体的に意識付けもやり易いとも感じます。

ISO27001での【リスク】【対策】【機会】は簡単な例から私なりに考えてみました。

簡単にウィルス感染の例だと、

【リスク】
・機密情報を扱わないので、ウィルス対策を入れていない ⇒ 感染し、悪意ある人の踏み台にされる
・データバックアップが無い ⇒ ランサムウェア感染などデータ改変されたらデータ復元できない

【対策】
・ウィルス対策ソフトウェアを導入する
・勝手にアンインストールされないようロックする
・PCやサーバ内のデータをバックアップ専用領域へ保管する

【機会】
・ウィルス対策を確実に稼働でき、悪意ある攻撃から防御できる
・万が一、ランサムウェアなどデータ改ざんするウィルスに感染してもデータ復旧できる
・ウィルス感染に関らず、PCやサーバ故障によってデータ消失しても復元できる
 ⇒ 攻撃から防御され、データ復旧もでき、安心して業務できる

 

他にも持出ノートPCの例だと、

【リスク】
・持出記録が無い、所持確認していない ⇒ 持出用途や日時など追跡できない、紛失に気が付かない
・ファイルやデータ持出しも自由に許可している ⇒ 個人情報が持ち出されて、紛失・漏洩する恐れあり

【対策】
・持出台帳を作成し、持出者名・用途・日時など記録する
・持出者に対して定期的に所持確認を行う
・持出ノートPCの記憶装置に暗号化機能を設定する

【機会】
・PC紛失時に持出台帳から持出したノートPCの識別できる
・持出台帳から持出者が特定できる。紛失報告が無くても、所持確認して素早く発見できる
・個人情報など持出され、紛失したとしても暗号化によって漏洩防止できる
 ⇒ 社員皆さんが安心してノートPCを持出せる

 

例は極々一部です。考えれば考えるほど出てくると思います。長くなるので割愛します。当社自身は元々【機会】を意識しておりますが、講師のお話を受け、改めて大事にしていきます。

当社のISO27001運用はまだまだ満足行くもので無いです。引き続き【改善】を率先して参ります。

2018-06-08 | Posted in 上田(システム事業部)Comments Closed 

関連記事