情報セキュリティの本質を逸脱しかねない解釈例−「もっと詳細に」「すべて文書化」
情報セキュリティマネジメントシステムというと、不必要なまでにマニュアルを作成したり、規格の内容を全て網羅しようとする事例が数多く見られます。 当社でおすすめする「シンプルな考え方」は、中身が薄いということではありません。 自社にとって重要な情報資産は何か、どのようなリスクが考えられるか、しっかりとポイントを押さえた上で、無駄なマニュアルやオペレーションはできるだけ省くことが重要です。 ここでは、何もかも網羅しようとする迷惑な規格解釈の一例をご紹介します。
マニュアルは現場で使われてこそ意味があります。文書化の要求の有無を正確に理解した上で文書化を実施しましょう。規格で要求されていない点について指摘を受けた場合は、企業にとって本当に必要かどうか、審査員と規格を元に議論すべきです。
リスク受け入れ基準は明確にすべきですが、表現方法は自由だと解釈できます。数値で示す方法もあれば、文章などで定性的に示す方法もあるでしょう。
ISO27001(ISMS)を支える手順として何をマニュアルに含めるか、必須のもの以外は企業が決定できます。何を文書化し、何をマニュアル不要(実行のみ)とするかは、文書体系などを整理してから文書化を進めるとよいでしょう。
規格では詳細に記入せよとは要求していません。自社で行っている管理策を詳細に記述するということは、見方を変えると弱点も明確になってしまうということです。そのような文書が存在することは、厳重に管理するとしても、自社の情報セキュリティにとって逆にリスクになりかねません。
トーマツのISO 27001(ISMS)構築メソッドの一部を無料でご提供します。 トーマツ環境品質研究所のコンセプトや手法を知りたい方のために、 ISO 27001(ISMS)構築メソッドの一部ご紹介する小冊子をお送りします。
