背景
ISO27001の規格本文によると、この規格はISMS(情報セキュリティマネジメントシステム)は情報セキュリティリスクの管理を通じて、情報の保護と利害関係者への信頼性の確保を目指す点にある、と記載があります。果たして、認証取得されている組織等はここで説明されている「情報の保護」に関して正しく取り組めているのでしょうか。
私の属する組織でも、残念ながら「はい」とは言い切れません。常に先行するのは利害関係者への信頼性になっており、認証取得すること自体が主な目的になっています。「認証取得するために実施したISMS」と「ISMSによって結果的に得られた認証」があるのです。
ISMS担当者を情報システム部が兼任し、役割や負担が集中することで本来のISMSパフォーマンスが出てないことも「認証取得するために実施したISMS」になる要因だと思われます。情シスに限らず特定部門に集中してしまうこの状況が、より良いISMS運用から遠ざけ、最終的に認証取得のためだけに動きがちになるのではないかと推測しています。
様々な要因が重なって理想にはならないのは当然ですし、理想を語るのは簡単なことです。だからといって何も動かないのも違うよなと思う今日この頃です。何から始めて何をどう進めればいいのかを考えてみたいと思います。
情シスが悪い・現場が悪い・誰々が悪いという話ではありません。
抱える課題
- 認証取得(維持)自体がそもそも苦しい
- 文書管理がしんどい
- 実態に即さないISMS運用
- 本来注力すべき業務があり、ISMS運用は後回し
- 規格要求事項が理解できていない
- 従業者からISMSの取り組みがコストだと思われている
- 情シスからたびたび書類記入を依頼されてイライラ、仕事を増やすな
- 審査で長時間拘束
- 認証さえ取れていればよい
- ISMSって何ですか
- 経営陣にISMSを理解いただけていない
- 情報資産の保護に繋がっていない
結局のところ、意味のない・理解されない、そもそも理解されるような環境になっていない取り組みになってしまっているのです。そういった環境で認証取得や継続することは関わるすべての人にとってストレスでしかありません。誰も幸せになりません。
あるべき姿
理想を挙げ始めたらキリがありませんが、まずは「意味のある取り組みだと組織全体に思われていること」を目指すべきかなと思っています。「面倒だけどやってもいい」と言われるくらいが嬉しいですね。取り組みに参加させるのではなく、自ら参加してもらいたいのです。
雑にアプローチとか
さて、意味のある取り組みだと思っていただくためには何をしなければいけないのでしょうか…
待ってください、そもそも現時点で意味のある取り組みができているのでしょうか?もしかしたら取り組み自体の見直しが必要なのかもしれません。情シス目線で意味があると思えても、ほかの従業員からはそう思えない可能性があります。取り組みの浸透はすぐにできるものではないので、時間をかけて実施することを前提に動いていく必要があります。
基本的なアプローチは「なぜやるのか」を十分にドキュメント化し説明することになると思います。取り組みを進める中で、「ISMSのためにこれをやってください」と依頼することが多々あるんじゃなかろうかと思いますが、「ISMSのためにやる」が特に印象を悪くしているように思えています。依頼された側からしたら「審査のためにやる作業」にしかならず、自分たちにプラスに感じられないからです。ISMSを主語にせず、情報セキュリティを主語に型を組んでいくとかなり印象が変わります。
私は実際にISMSポータルというものを社内Notionに展開して作業を現場主導でお願いするよう試みました。その中で、「ISMS要求事項を達成するためにやらなければいけない」と書いた項目は殆どありません(気候変動に係る対応くらいかなと思います)。常に、従業員を守るため・資産を守るため・事故を起こした時の影響範囲を知っておくため・既存のリスクを把握するため・リスク対応状況の明確化をするためといったような書き方をしています。ドキュメントの誘導に合わせて作業依頼をすることで、事務局側の負荷も軽減されましたしドキュメントは再利用可能な資源としてはかなり有益なものになったと自負しています。効果として、実際のサーベイランス審査で自部門の情報資産の情報やリスクアセスメントの状態・委託先管理状況などについて混乱もなく、また事務局(情シス)の介在もそこまでなく終えられたという点があげられます。完璧ではないものの、ISMSを意識せずにISMSの取り組みが進められたのではないかと思っています。
ドキュメントを書いても読まれないから意味がないと思われる方もいらっしゃるのではないかと思いますが、それは読んでくださる方に失礼ですし、読まない人に合わせる必要はないと思っています。中には非協力的な方もいるかもしれませんが、その方を基準にする必要は全くありません。
終わりに
かなり雑にお気持ち表明を書きましたが、せっかく認証取得するのであれば意味のあるISMSにしてきたいよねということに尽きます。ISMSを楽しく回す人は相当な変態とお見受けしますが、多くの方には苦だと思いますし自分も大変と感じる業務の一つです。楽にすることも事務局として取り組まなければいけない課題ではありますが、理解を得られたうえで全社的に動けたらそれはもう勝ったも同然だと思います。