管理策と管理目的
[ISMS「規格書」の誘惑困惑??] でも述べたように、ISMS規格ではあらかじめ、「管理目的と管理策」と呼ばれるものが定められている。
「管理目的」は、管理するにあたってその管理策が何を意図しているのかを書いてあるもの(の、様に読んでいると感じるのだけれど、本当はどうなんだろう?)。
「管理策」は、例えば、情報セキュリティ基本方針に対しては、経営陣の承認をとれとか、どんな人に公表するべきかといった、細かなことが一つ一つ決められているものだ。
ISMS認証を取得するには、リスクアセスメントの後に、これらの管理策の中から、自分たちの現状に合わせてどれを適用するのか、取捨選択をしなくてはならない。
規格書によると、これらの管理策は全てを網羅しているわけではないので、独自に必要な管理策が何かあるのなら、それを足してよいことになっている。
また、必要のない管理策は適用しない、という選択もできる。センターでは、「電子商取引(管理策番号:A10.9.1、2)」は、オンラインショッピングの業務を行っていないので、適用除外としたうえで、理由を「オンラインショッピング業務を行っていないため」とした。
一つ、余談。
ISMSで大切なことの一つに、必ず理由を明確にする、というのがある。必ずしも全ての管理策や、規格を適用しなければならないわけではなく、なぜそれを適用しないのか、理由がはっきりしていることが重要だ。
妥当な理由がはっきりしていれば、審査のときになぜ適用しなかったか訊かれたとしても、それを答えれば、大抵の場合審査員に納得してもらえるはずである。
「管理目的」は、管理するにあたってその管理策が何を意図しているのかを書いてあるもの(の、様に読んでいると感じるのだけれど、本当はどうなんだろう?)。
「管理策」は、例えば、情報セキュリティ基本方針に対しては、経営陣の承認をとれとか、どんな人に公表するべきかといった、細かなことが一つ一つ決められているものだ。
ISMS認証を取得するには、リスクアセスメントの後に、これらの管理策の中から、自分たちの現状に合わせてどれを適用するのか、取捨選択をしなくてはならない。
規格書によると、これらの管理策は全てを網羅しているわけではないので、独自に必要な管理策が何かあるのなら、それを足してよいことになっている。
また、必要のない管理策は適用しない、という選択もできる。センターでは、「電子商取引(管理策番号:A10.9.1、2)」は、オンラインショッピングの業務を行っていないので、適用除外としたうえで、理由を「オンラインショッピング業務を行っていないため」とした。
一つ、余談。
ISMSで大切なことの一つに、必ず理由を明確にする、というのがある。必ずしも全ての管理策や、規格を適用しなければならないわけではなく、なぜそれを適用しないのか、理由がはっきりしていることが重要だ。
妥当な理由がはっきりしていれば、審査のときになぜ適用しなかったか訊かれたとしても、それを答えれば、大抵の場合審査員に納得してもらえるはずである。
