本文と附属書Aに記述された要求事項は,その性格,活用の意図を考えるとその取扱は異なると思います。
規格本文は,適用除外が認められていない「情報セキュリティに対するマネジメント活動」の要求事項です。
一方,規格附属書Aは,情報セキュリティルールに関するもので、リスクアセスメントの結果、「適切な管理策の適用」を選択した場合以外は「適用除外」が認められるものです。ただし、リスクの回避、リスクの移転は「適用扱い」です。リスクの受容という選択肢は、「適用扱い」ですが少々曖昧であり、本来のリスクアセスメントの考え方からすると「適用扱い」ではないと思います。日常における注意・意識付け、教育・訓練、とりあえずの策などを屈指してリスクの軽減を図るべきものです。
多くの管理策を適用除外にする「審査テクニック」を売りにしているコンサルがいますが、適用除外にして審査を通しても、発生すれば、結局、企業の経営者や従業者が路頭に迷うことになります。そのような甘い言葉に惑わされて審査にパスしても「登録証」は「厄払いのお守り」にはなりませんので注意が必要です。
管理策に関しては、情報セキュリティに関する実務規範( ISO/IEC27002 )にある「Control objectives and controls」のListであること,規格4.2.2 c)項の“4.2.1 g) によって選択した管理策を、その管理目的を満たすために実施する。”との記述があることなどを考えると、管理策は単独で決めるものではなく、上位の管理目的を満たしていることが前提条件です。
特に附属書の管理策の日本語文を見ると、抽象的で誤解を招きやすいものが多いです。しっかりリスクアセスメントを実施し、脅威・ぜい弱性、リスクを具体的にしなければ、管理目的を満たさない、満たせない管理策となります。それらはいくら実行してもリスク低減効果は少ないことが懸念されます。
規格附属書Aの39種の管理目的や133種の管理策からは、「PDCA」(マネジメントサイクル)活動は伝わってきません。 あくまでも、管理策の実行は管理目的の達成のためにあり、常に規格本文の「PDCA」サイクルの「D」の構成要素として、本文にある「PDCA」サイクルを活用しなければ、硬直した情報セキュリティルールとなることが考えられます。
情報セキュリティに関する実務規範( ISO/IEC27002 )は、ISO/IEC27001を適用、採用しなくとも他のマネジメントシステム、例えば、従来からの経営方法で実戦可能なように作られています。 ISO/IEC27001を実践するのであれば、規格として相互の役割を明確にし、相乗効果を出せるように運用することで、効果的なISMSとなると思います。
従って、管理策を実践しておれば、ISO/IEC27001に基づく「ISMS」を順守していることにはなりません。
0 件のコメント:
コメントを投稿