実例 情報セキュリティマネジメントシステム〈ISMS〉の本質化(2013年改正対応) ISO/IEC 27001:2013(JIS Q 27001:2014)改正対応版

本が届いたときは、うすっ！と思ったものの、気づきの多い本でした。 NTTデータさんの取り組み。 まあ、こういう会社さんなんで、もともとが超真面目な管理・運用をやっていたのかもしれないけど、情報資産台帳の廃止など、本質突き詰めれば、何の役に立ってる？っていう、「常識的な運用」に挑んでいて、（セキュリティマネジメントに関わらず）プロセス・コントロール構築をする際に、とことん考え抜かなければいけないところの具体例があって、関係者は一度読んでほしい。 ちなみに、今年7年ぶりにISMS監査に関わったけど、台帳自体は、台帳をみて、こいつはこの区分の情報だから、こういうルールだなんていちいち確認するわけはなく、台帳の粒度がまちまちなら、リスク量を評価するにも大して役立たず。一番大きな欠点だなと思うのは、情報のライフサイクルを表現できないこと（どこから情報がやってきて、どこに行くのか）。保管場所だけを示しているので。。。 この点、GDPRなど、プライバシー情報管理のように、情報のトレーサビリティが少し絡んでくるような気がしているので、静的な台帳管理の有用性は突っ込んで考えておきたい。 リスク量という面では、台帳は有用だけど、それなら、そのための記載ガイドラインを整備しないと。でも、リスク量はもしかしたら、台帳という形ではなく、人数、データベース、ファイルサーバから直接的に推計するモデルを簡単に構築できるかもしれないですね。 さいごのほうに、「気まずい内部監査から脱却する」ことを狙った、ケースが紹介されています。 来年になったら時間的余裕を生み出せそうなので、こうしたケースづくりに取り組もうと思います。今期、そのための最高度の監査手続きを踏んできたので、これを時間対効果面でバランスのとれた監査のベンチマークとして、実践研修をやっていきたい。