ISMSの運用現場から

情報セキュリティシステム（ISMS）を運営する認証基準として日本ではBS7799-2をベースにISMS適合性評価制度が作られ、その基準に合わせてISMSが運用されているか審査されますが、BS7799-2が国際規格化されISO270001となり日本でも独自のISMS適合性評価制度からISO270001の認証基準制度に変わります。

その移行期間として1年半くらいあり、いろいろと基準を解釈するのにISMS運用現場の人間としては悩んでおりました。
難しい用語というか解釈に困る内容がたくさんあり文章を読んで理解するには一苦労です。

移行前のISMS適合性評価制度にもかなり、解釈に困った箇所がありました。
特に印象に残ったものをあげると9.5.6のタイトルが「利用者を保護するための脅迫に対する警報」と言う管理策です。

これは「脅威の標的になり得る利用者のために、脅迫に対する警報を備えること。」とありますがなかなか理解できませんでした。以前、問い合わせた時に銀行で脅迫された時にならすようなベルのようなものと聞いたのですが9.5以下の項目は「オペレーティングシステムのアクセス制御」に関する管理策なので具体的にこの対策を必要とするシーンが想像しにくい状況でした。
結局、検討した結果、この管理策は採用しなかったのですが今回ISO27001にはこのような管理策がなかったので、一般的にみてもあまりよく理解されていなかった結果なのではと思います。

ISO27001でも解釈というかどのようにすれば良いのか悩んだ箇所がありました。
我々が一番対応に困っていたのは管理策の有効性の測定です。
これは4.2.2にd)に比較可能で再現可能な結果を出すために・・・とありますが再現可能と言う言葉の意図しているところを理解することにまず悩みました。おそらくこれは誰が測定しても同じ結果がでる方法を考えることを意図しているのだと思いますがこの測定をそれぞれの管理策に対して行うにはどのようにすればよいのか、かなり悩みました。
結局、審査機構に相談した結果、管理策の有効性の測定が必要、また可能と判断したものを中心に測定方法を決めて、導入していきました。
この辺は本などもあまり出ていないので、具体的な例がなく参考にできるものがないので大変難しい要求事項の１つでした。

こんな状態でしたがなんとか無事、ISO27001への移行審査に間に合い、カテゴリA、Bが出なく、ほっとしました。
ISMSを導入した時も大変でしたが、移行の面を含めて、維持することはほんとうに大変です。

おそらくISMSを運用して同じ心境のかたは結構いるのではと思います。
企業にとってある基準に沿って情報セキュリティを運営していくのは間違った方向性、偏った対策を避けるためには良い手段だと思います。
導入していない企業もこの基準に沿って情報セキュリティシステムを考えてみるのは良いかもしれませんね。