ISO27001に示されている附属書Aの管理策については,日常的な日本語や漢字の持つ意味からの解釈,管理目的を意識していない,規格の意図の誤解などがあるようです。審査対応ではなく、企業経営・企業存続の視点で考えて診ることが大切です。4.2.1 c~g)や4.2.3 d)で疑問に思ったら、それは、誤解か、知識・智恵の不足かをよく考えて、再度リスクアセスメントを実施しましょう。
管理策は,手段ですから標準化の対象となりうるものであり,レビューし,改善するものです。また,あくまで管理目的を達成するための手段ですから,組織の特性(業界・規模・組織体制・経営層・業務内容等)により,それぞれルールの内容は異なります。同じ会社においても,業務内容や各種環境の違い、時間の経過による社内外の環境の変化(脅威とぜい弱性)に対応していかなければならないものです。
従って、各企業の決め方次第ですが、必ず守らなければならないルールと、できれば守りたいルール、将来的に守ることを目指そうルール等の現実的な対応方法があってもよいのかも知れません。しかし、あくまでも、それぞれそのような柔軟なルールにするのであれば、リスクアセスメントをおこない、宣言して行うことが必要です。
情報セキュリティルールは、あればよいわけでもありませんし、当然ながら審査用でもありません。
あくまでも起きるかも知れないことがらに対して、起こさないようにしよう、もしおこっても被害を最少に留めましょうというのが管理策です。従って予防策の塊です。
A14項の管理目的及び管理策だけは事業継続に関することですから、少し時間軸が異なり危機管理(クライシスマネジメント)に該当します。
管理目的を満たすための管理策ですので、智恵を存分に発揮して、形骸化させず、企業の持続的成功のための投資であるとの意識で柔軟に対応することがよいと思います。
よく分からない、心配という場合は、自称ではなく、本当のISMSの専門家を見つけて質問する、コンサルを依頼することも考えないと、放置すると「事件・事故」に巻き込まれることも考えられます。
0 件のコメント:
コメントを投稿