はじめに
今回は、先日自社で受審したISMS(情報セキュリティマネジメントシステム)の定期監査についてのお話です。
私は、10年近く、ISMSの運用に携わっております。
ある程度は、できていると思ったことができておらず、監査で指摘を受けたので、
そちらについて書きます。
なお、今回の指摘は「至極まっとう」であり、同時に「仕組み化」の重要性を再認識する
良い機会となりましたので、備忘と自戒を込めて、こちらにまとめようと考えました。
※こちらの監査対応と業務が多忙であり、ブログ更新が滞っておりました。申し訳ございません。
そもそもISMSとは?
本当に簡単に説明すると、ISMSとは「ISO27001」という国際規格に基づき、
組織の情報セキュリティを維持・改善するための仕組みのことです。
自社の情報資産を適切に守るためのルール(規定や手順書)を定め、
それが正しく運用されているかを定期的にチェック(監査)します。
今回の監査で受けた2つの指摘
今回の監査では、大きく分けて以下の2点を指摘されました。どちらも非常に初歩的な内容です。
1. ドキュメントの承認日漏れ
ドキュメントの改訂時、更新日は記載していたものの、上席による「承認日」の記載が漏れていました。
上席はいつも忙しいため、「次に直接お会いしたタイミングで承認をお願いしよう」と、
後回しにしていた結果、そのまま完全に失念してしまっていました。
相手の手間を考えたつもりが、裏目に出てしまった形です。
2. ドキュメント間の連携(整合性)不足
個別のドキュメントを更新した際、それらを取りまとめている一覧表側の更新を忘れていました。
片方だけが最新化され、もう一方が古いままという、データの整合性が取れていない状態です。
「当たり前」を放置してしまった悔しさと、納得感
正直に言えば、10年もこの業務に関わっていながら、
このような初歩的なミスを出してしまったことは情けない限りです。
どちらも「当たり前のことを、当たり前にやっていれば」防げたことでした。
しかし同時に、「次回やろう、と、記憶に頼るような運用を続けていれば、いつかこうなることは分かっていた」という
妙な納得感もあります。
「後で声をかけよう」「これも一緒に直しておこう」といった、個人の記憶や意識に依存した運用は、
業務が立て込んだり、慣れが生じたりした時点で破綻するのは明白でした。
今回の指摘は、まさにその運用の脆さ(もろさ)を突かれたものでした。
ただ、これは改善の機会であり、適切な、良い指摘だと捉え、前向きに対策していこうと考えています。
対策としては、古典的とも思いますが、チェックリストが良いかと思っています。
