自社の情報セキュリティ管理がしっかりしている証明として、ISMS(ISO/IEC 27001:2013)の認証を取得するというものがある。これは1回取得すればそれで終わりではなく、継続的に取り組んでいかなければならないもので、通常1年ごとの継続審査、3年ごとの更新審査を審査機関から受審しなければならない。今回は指摘を多く出しやすい「更新審査」を受審する場合の事前準備のポイントを簡単に説明したいと思う。
事前準備(調整編)
組織の規模や認証範囲にもよるが、通常は半年ほど前から準備を進める。考慮すべき事項は以下のようなもので、審査機関との調整や社内調整をしながら審査計画を立てていく。
- 審査機関に連絡し、希望する日程や概算費用を確認する。
- 審査計画書を早めに審査機関から受領し、担当審査員が誰になるのか確認する。
- トップインタビューの日程を確認し、トップのスケジュールを抑えておく。
- 適用範囲内の部門責任者と実務担当者のスケジュールを抑えておく。
- 審査用の会議室を抑えておく。施錠可能で、ある程度広く、プロジェクタと電源タップが使用できる環境が望ましい。
事前準備(実務編)
更新審査の準備で忘れがちになるのが「3年間の運用記録」を準備することかと思う。運用記録というのはISMSを継続していくにあたっての日々の運用記録であり、以下のようなものがある。これらの記録類を整理して「すぐに見せられる状態」にしておくことがポイントである。
- 事務局活動記録(定例会議議事録、問題管理、是正処置対応、問い合わせ対応記録等)
- リスクアセスメント対応記録(対応結果、承認、是正計画、是正対応等)
- マネジメントレビュー対応記録(報告資料、指示内容、対応記録等)
- 教育活動記録(社員、協働者、派遣、パート、アルバイト等)
- 監査対応記録(監査計画書、監査報告書、是正処置報告書等)
- 審査機関からの継続審査対応記録(指摘事項と対応結果等)
- インシデント記録(事件事故が起きた場合の対応記録、ヒヤリハット等)
事前準備(演習編)
個人的には事前準備と並行して本番審査に向けてのシミュレーションを行うことをお勧めする。分かっているつもりでも実践ではうまく説明できずにアウアウしてしまう場合も少なくないからである。コンサルと契約している場合はコンサルにお願いして実践と同様のシミュレーションを実施してもらう。自社内のメンバのみで実施する場合は、監査部門など、ある程度独立した部門にお願いするか、他部門どおしでクロスチェックするやり方もある。
更新審査が初めての場合は、トップ向けのシミュレーションと重要な情報資産を取り扱う部門のシミュレーションはやっておいた方が良いと思う。慣れていれば受け答えもスムーズにできるのだが、慣れていないと必要以上に感情的になったり、いらんことをしゃべったりしてあまり良い印象にならないからである。
また、本番を想定したサイトツアーもやっておいた方が良い。案内するルートと対応者を予め決めておき、サーバールームや居室内の設備説明を出来るように訓練しておく。演習で発覚した問題点は速やかに共有し改善する。
例えばサイトツアー演習を実施した際に「これアカンやつや」というものには以下のようなものがある。
- デスク上に機密と思われる書類が山積みになっていて、モニタへの付箋にパスワードらしき英数字がペタペタ貼ってある。
- 離席時の画面でフリーチャットとヤフオク真っ最中。
- 入退室が自由で業者が勝手に担当者のデスクに謎のブツを置いて帰ったりする。
- 複合機の上に協力会社社員の履歴書が無造作に置かれ、誰も気にしない。
- サーバールーム内に謎のPCやHDDやUSBメモリがゴロンゴロン置いてあって管理者が誰なのか誰もわからない。
- サーバールームに食べかけの「たべっ子どうぶつ」と「コーラ」がある。
まとめ
ISMS更新審査は3年間の運用記録を求められるため準備に時間がかかる。早めに調整し、文書、記録類を整備するのがポイントと言っていいだろう。もし準備が遅れ、対応に不安がある場合は、優先順位をつけた上で不適合をもらわないための対策をカクジツに実施しよう。
コメント