ISMSの運用開始後は、“ちゃんと運用できているか”という定期的な確認である「内部監査」が必要となります。また、内部監査の結果を踏まえ次のアクションへ移るためには「マネジメントレビュー」を実施することとなります。
今回は、ISMSの運用にに必要不可欠なチェック&アクション、内部監査とマネジメントレビューについてお伝えしていきます。
内部監査について
“ちゃんと計画通りの運用が行われているか”の確認である内部監査ですが、“形式だけ”となっている組織が多いように見受けられます。
なぜその様に軽く扱われているのでしょうか?内部監査における問題点を考えてみましょう。
社内的地位の問題
内部監査責任者とISMS責任者の力関係はどうなっているでしょうか。ISMS責任者の方が社内的にポジションが上ということはないでしょうか。この場合、積極的な指摘が行われない可能性があります。社内的ポジションが下の者から上の者に対して「これはダメですよ」とは言い難いですよね。
逆もまた然りです。ISMS責任者より内部監査責任者の方が社内的にポジションが上であると、仮に的外れな指摘であっても訂正できず、唯々諾々と従ってしまうことになるでしょう。
つまり、どちらにしてもPDCAスパイラルの有効な運用にとってはマイナスということになります。ISMS責任者と内部監査責任者は、社内的に“同格の者”が選ばれることが望ましいのです。
社内の人間関係の問題
こちらに関しては、“内部監査員の心理”から発生する問題です。
監査部門が独立しているような大規模企業でもない限り、内部監査員と被監査部門担当者は顔見知りです。その場合、どうしても「今後のこともあるから、あまり波風を立てたくない」といった思考が働いてしまいます。その結果、指摘事項を伝えることが難しくなってしまうのです。監査の結果「これはだめ」と判断した事項について、“口頭での注意”留め、報告書に記載しないなど、上層部に情報が伝わらないということが起こります。
この様な状況を避けるためには、下記の様な評価方式の導入が有効です。
- マルバツ(○×)式で評価せず、段階評価にする
- 不適合が出ないことより、業務改善の事実を高評価する
マルバツ(○×)式の場合、優秀な部門に「○」が付く分には問題ありませんが、“不適合を出しづらいからギリギリセーフ”の部門に「○」が付いてしまう可能性があります。すると、“出来る限り労力をかけずに、ギリギリでも「○」が貰えればいいや”といった意識が働き、組織全体が低いレベルへ移行してしまう危険性があるのです。
内部監査による「変革」を嫌う傾向
一般的に「変革」は「対応漏れ」を生じやすくしてしまう傾向があります。その為、不適合を出さないためには“できる限り変えないこと”が有効と言えます。
しかし、できる限り変えないということは、各部門最低限のことのみしか行わず、徐々に“じり貧”の状態となってしますのです。これでは、せっかくのマネジメントシステムが有効的に機能しません。
ISMSの規格自体には“「適合確認」は内部監査の一方の目的でしかない”と表示されています。
- a)適合性の確認
- b)有効性と維持の確認
9.2内部監査の項目より
マネジメントシステムにおける有効性とは、PDCAが適切に行われていることが第一です。つまり業務改善が出来ていなければならないということです。何年も前に制定された規程の「適合確認」よりも、今の「業務改善」の方が重要なのです。
日本における内部監査は、なぜかa)ばかりを行い、b)が疎かになりがちに見えます。これも内部監査の形骸化の要因と言えます。
マネジメントレビューについて
内部監査などの結果も踏まえ次のアクションを起こすため、PDCA最後のポイントである「マネジメントレビュー」を実施します。
この際の最重要ポイントは「トップが自らの責任で判断を下すこと」です。もちろん、ISMS規格で決められたインプット事項を議事に上げることは当然なのですが、担当者に任せきりではいけません。あくまで「リーダーシップ」に基づき、トップマネジメントが判断することが重要です。
これは昨年国から発表された「サイバーセキュリティ経営ガイドライン」にも合致するところです。セキュリティ対策は“経営責任”ですので、組織全体で認識しましょう。マネジメントレビューのアウトプットは、その組織のトップマネジメントの認識レベルがそのまま表れます。そして、それが組織のセキュリティレベルを表すことにもなるのです。
PDCAの最終ステップであるマネジメントレビューアウトプット。実際の審査でも、ISMSの有効性を図るには、この記録の確認から始まることが多いのです。
まとめ
今回までの連載で、ISMSにおけるPDCAが朧気ながらも見えたかと思います。
- ISMS(Information Security Management System)とは何か
- ISO27001(ISMS)とプライバシーマークの違い
- ISMS構築の第一歩!自社分析の考え方について
- ISMS構築の第二段階!情報セキュリティの“リーダーシップ”について
- ISMS構築の第三段階!「情報セキュリティの目的」とは
- ISMS構築の第四段階!情報セキュリティ計画の「リスクと機会」
- 情報セキュリティにおける「リスク所有者」とは
- 情報資産管理の基本概念「情報セキュリティの三大要素」とは
- ISMS最大の課題「管理策の考え方」について
- ISMS運用に欠かせない「情報セキュリティ対応計画」の考え方
次回から「附属書A管理目的及び管理策」の誤解を受けやすい点を解説していきます。