「情報セキュリティ」をもっと簡単に!
今回は、私がもし情報システム部門のメンバーだったら是非取り組みたい 「情報セキュリティのシンプル化」について書いてみようと思います。 ただ、この話題は突き詰めていくと深い話になりますので、 全体的な話を掻い摘んで書かせていただきます。
最近、情報システム部門の方たちとお話をしていると、 情報システムリスクやIT統制など、やらなければならない作業が ここ数年で増えて大変だとの声を耳にします。
先日お会いした情報システム部門の方は、 下記3点が大変な作業と感じられているようでした。
- 最近ISMS(情報セキュリティ)の認証を取得した
- 2年前から内部統制(JSOX)のIT統制対応を行っている
- システム監査の実施、及び対応
上記それぞれの作業に取り組むにあたって、対応するための 専用チェックシートを用いているとの事でしたが、確かにリスクに関する 何十、何百という多くのチェック項目に毎回対応するのは大変です。
私がその担当者で、今後も同じ作業をするのであれば、 上司にこう提案すると思います。
「重複作業が多いので、チェックシートをまとめて1枚にします!!!」
それぞれの情報セキュリティ対策を行う際には、 下記のように何かしらの要求事項や基準に従って (定められたルールを守って)文書化・整備していきます。
- ISMS(情報セキュリティ)は、「ISO27001実施基準」の管理策Aの必要事項
- JSOXは、「内部統制実施基準」のITへの対応と、 「(必ずではないですが一般的に)システム管理基準追補版」
- システム監査は、(業界により異なりますが)「金融検査マニュアル」や 「保険検査マニュアル」「システム監査指針」など
これらの文書には必ずと言っていいほどに、取り組まなければならない、 または取り組んだ方が良い事例などをまとめたチェックポイント集のようなものが 入っているので、それらをマージ(組み合わせ)して1枚のチェックシートにします。
それぞれのチェックシートをよく見ると、カテゴリごとにチェック項目が分かれていて、 そのカテゴリ分けの大部分は、全社的なIT戦略、変更、開発、テスト、 移行、ソフトウェア管理、ハードウェア管理、入退室管理…など。 大部分は共通のことを要求しているのが分かりますよね。 金融庁や経済産業省、ISO(国際標準化機構)など、 組織によってそれぞれの基準・規格がありますが、 彼らが要求している事は大枠ではさほど変わらないのです。
ということは、それぞれのチェックシートのカテゴリとその詳細 (質問項目やチェック項目)をマージして1枚のチェックシートにまとめあげ、 その次に皆さんの組織にとって必要なチェック項目を抽出 (逆に言うと対応不要なものを削除)していくことにより、 統合チェックシートが完成します。 また、必要に応じて改善対応状況を記入する列を追加することによって、 進捗管理対応もまとめて可能です。
もちろんデメリットもあります。 最初にこのマージ作業を行う際は、負荷もかかりますしやや面倒ですが、 翌年移行のITセキュリティに関する運用・管理はグッと楽になるはずです。
もし今、自社のITセキュリティの運用・管理に面倒さを感じて いらっしゃる場合は、上記を検討してみてはいかがでしょうか。
