Last Updated 2003/1/3
認証制度
せっかくセキュリティポリシーを作ったんだったら、認証を意識したいところだ。
今後認証を受けるとしたら、やはりISMS適合性評価制度を意識しないとならないだろう。ISMS適合性評価制度はISO13335 TRやISO17799(BS7799)などの国際標準をベースに構築した情報セキュリティ管理システム(ISMS)を評価するものだ。
あるいはまた、BS7799そのものの認証もある。
では、評価とはどういうものなのだろうか?
品質管理のISO9000認証もそうだが、標準の評価とは基本は文書主義である。したがって、作られた仕組みやルールについて、すべて文書化されていなければならない。厳格に言えばたんに文書になっているだけではもちろん足りず、その内容に管理項目要件が正しく含まれていないとならない。さらに、改訂や変更などに応じて文書を管理するシステムも確立されていなければならない。
あまりに文書主義でありすぎることにはもちろん弊害もあるが、しかし、文書としてきちんと規定、記述されていないルールにはさまざまなリスクが付帯してしまうこともまた事実である。関係者全てのルール認識が一致しないとか、改訂した場合のオーソライズに手間がかかるとか、そういうリスクを抱え込まないために、最初が面倒であっても文書化する方が良いだろう。
認証のベースとなるセキュリティ標準の詳細要件すべてをカバーする必要は無いが、カバーしていない理由はすべて明確でなければならない。これはISMSを確立する範囲(業務、部署、組織など)をはっきりさせれば明確になるものだが、その考え方が曖昧であると整合性が取れなくなる傾向がある。
また、範囲を定めたものの、その範囲内であっても現在はさまざまな理由のためにどうしても満たせない要件があるはずだ。そういう要件については、例えば次回の審査(評価はだいたい数次の予備審査を経て行なわれるものだ)までに満たす、などの理由付けが出来れば良いのだ。審査までに間に合わなくても、満たす計画、ロードマップが明らかになっていれば良い場合もある。
認証取得を目的にすると(もちろん本来の目的は情報セキュリティ対策だが)、モチベーションを上げる効果や啓蒙効果も期待できる。実際データセンターでもセキュリティ認証の取得によって差別化した結果、商売繁盛に繋がった例もあるそうだ。
セキュリティを向上させて、かつ商売も繁盛すれば、お金をかけて認証を取得した甲斐もあるというものだろう。そのためにも取得を検討されてはいかがだろうか?
Copyright © 2002-2003 Sonoda Michio
●Security INDEXへ