【いる？いらない？】各部門での情報セキュリティ目的の必要性について

うちの会社だけなのかもしれませんが情報セキュリティ目的が毎回外部監査の時に問題になってました。

規格に書いてあるから各部署の情報セキュリティ目的がないとダメという審査員。

規格には各部門と書いてあるけど各部署でわざわざ作らなくても良いという審査員。

一体どっちが正解なの？と毎回悩まされます。

結論から言うと

余分な文書を作って管理が煩雑になるくらいならなくてもいい。

と言うことなんですが、情報セキュリティ目的は必ず作らなければいけないわけで……

じゃあ一体どうするの？というところを

実際の監査実績をもとに必要性とまとめ方について記事にしていきます。

情報セキュリティ担当者向けにやっておきたいことをまとめた記事があります、はじめて情報セキュリティに携わる方、是非ご覧ください。

情報セキュリティ目的とは

まず情報セキュリティ目的とはなんだろうか、というところなのですが、情報セキュリティ目的はISO27001：2013の6.2にまとめられています

組織は、関連する部門及び階層において、情報セキュリティ目的を確立しなければならない。
情報セキュリティ目的は、次に事項を満たさなければならない。
a)情報セキュリティ方針と整合している
b)（実行可能な場合）測定可能である。
c)適用される情報セキュリティ要求事項、並びにリスクアセスメント及びリスク対応の結果を考慮に入れる。
d)伝達する。
e)必要に応じて更新する。

組織は、情報セキュリティ目的に関する文書化した情報を保持しなければならない。
組織は、情報セキュリティ目的をどのように達成するかについて計画するとき、次に事項を決定しなければならない。
f)実施事項
g)必要な資源
h)責任者
i)達成期限
j)結果の評価方法

ISO27001:2013より

こんな感じですね。

簡単に言うと

「各部門で情報セキュリティ方針と整合した測定可能な目標を作りなさいよ」

ってことなんですけど、この「部門及び階層において」と「情報セキュリティ方針と整合している」というところで審査員と事務局での齟齬が出ているのが現状です。

情報セキュリティ目的達成計画書は必要？

ISMS導入当初はコンサルティングを受けていた会社が

「情報セキュリティ目的達成計画書」というものを用意していたので、それに沿って文書を作っていました。

ただし、実際の監査の中で不要という審査員と、作成しなければならないという審査員がいて

「本当にこれって必要なの？」

と毎年悩まされていました。

現状はわざわざ情報セキュリティ目的専用の文書は作っていないのですが、実際の審査において審査員の見解は

審査員によって異なる

のが現状です。

審査会社によって異なるのではなく「人」によって違いがあります。

情報セキュリティ目的のまとめかた

実際に私がどうやって「情報セキュリティ目的」をまとめているかというと

1. リスク分析によって抽出されたリスク対応計画
2. その他情報セキュリティ会議で抽出された事項
3. 内部監査とマネジメントレビューで抽出された事項

すべてをリスク対応計画書にまとめています。

といってもこれが正しいのか？については各会社によって変わってくる可能性が大きく。

私の勤めている会社は30人ほどなので、各部署で別々の管理策を取るより全社で統一された管理策をとるほうが良いだろうという判断です。

大きい企業でそれぞれ１部門で100人以上いる、従事している仕事が全く違う、このような会社は部門、階層での情報セキュリティ目的を作ってもいいかもしれません。

現実的なお話をすると中小企業で各部門が５～10人程度の部署に「情報セキュリティについての目標を作ってください」といったところで

• インシデント「0」
• クリアデスクに気を付ける
• パソコンを車内に放置しない

こんな目標しか出てこないでしょう。

ということであれば、各部署長会議や情報セキュリティ会議でより会社の経営状態に沿った目標を作るほうがよっぽど建設的です。

ISMSの運用に対して部門ごとの情報セキュリティ目的が役に立っていないのなら、無い方が管理しやすいでしょ！
ってことですね。

ISMSを運用しているのであれば必ず情報セキュリティ基本方針を定めています。

その中に「情報資産の保護」「当社及び顧客を保護」などの文面は含まれていますよね？

もし監査員から指摘があった場合は

「基本方針に定めた事項を目的として、リスク対応計画書にまとめています。」

でOKです。

これでも「いや部門及び階層において確立して文書化しなければならないって書いてあるじゃないですか！不適合です！」

って言われたら審査後にクレームだしてあげてください。

ただしリスク対応計画書に下記文面をちゃんといれて、情報セキュリティ目的になる項目を記載して下さいね

作った後は必要な時点での更新が求められます「一度作って放置」はダメですよ。

わざわざ情報セキュリティ目的のために台帳を作る必要は無し！リスク対応計画書にまとめてしまいましょう！

情報セキュリティ目的の具体的な管理方法

上の項目でリスク対応計画書にまとめる、ということで記載いたしましたが具体的な管理方法についてご説明します。

リスク対応計画書にまとめる

繰り返しになりますが

1. リスク分析によって抽出されたリスク対応計画
2. その他情報セキュリティ会議で抽出された事項
3. 内部監査とマネジメントレビューで抽出された事項

これらの事項を全てリスク対応計画書にまとめてしまいましょう。

リスク対応計画書兼情報セキュリティ目的管理表兼情報セキュリティパフォーマンス管理表ですね。

各部署や内部コミュニケーションで抽出された課題を記載する

続いてリスク対応計画書に何を記載すれば良いか、というところです。

リスク分析から抽出されたリスク対応計画はもちろん記載しておくとして

次に記載したいのは各部署や内部コミュニケーション（情報セキュリティ会議など）で抽出された課題です。

例えば

こんなかんじですね。

事務局のメンバーが集まっての会議以外でも部署長会議やその他社内での会議などがある場合はその中にも重要な情報セキュリティ目的が隠されている可能性があります。

CISOは常にアンテナを高く張って情報を入手していきましょう。

情報セキュリティ目的用の項目を追加する

情報セキュリティ目的は下記項目を記載して評価する必要があります。

f)実施事項
g)必要な資源
h)責任者
i)達成期限
j)結果の評価方法

実施事項

情報セキュリティ目的の内容です。

「ランサムウェア対策用のアプリを導入する。」などです。

必要な資源

費用が発生する場合は「費用」。人手が必要なら「人員」です。

金額やおおよその作業費がわかるものについてはわかりやすく記載しておきましょう。

責任者

責任者です。

実施する担当ではなくあくまでも責任を負う人を記載しておきましょう。

達成期限

いつまで、に目的を達成するか、日付を記載します。

会社全体での目的になると1年では終わらないものも出てくると思います。

複数年にまたがるものについては、この管理表だけではなく、その目的を担当している内部コミニュケーションで進捗を管理しておきましょう。

結果の評価方法

「情報セキュリティ方針と沿った結果が得られた」かをどのように評価するかですね。

実際は「内部監査にて測定、マネジメントレビューで評価」このような記載になると思います。

もし別で評価方法が決まっていればそれを記載してください。

内部監査報告書やマネジメントレビューに測定及び評価されたことを必ず記載して下さい。最悪不適合になります。

実際の外部監査でこんなやりとりはしないと思いますが、ここは規格に書いてあるんで。会社で不要と判断してもちゃんと必要な項目を記載しておきましょう。

まとめ

今回は情報セキュリティ目的の管理方法についてご説明しました。

1. リスク分析によって抽出されたリスク対応計画
2. その他情報セキュリティ会議で抽出された事項
3. 内部監査とマネジメントレビューで抽出された事項

以上をリスク対応計画書に全てまとめましょう。

そして各部署や内部コミュニケーションで抽出された課題を記載する

この部分が各部門で情報セキュリティ方針と整合した測定可能な目標となります。

そして作ったリスク対応計画書には

f)実施事項
g)必要な資源
h)責任者
i)達成期限
j)結果の評価方法

を必ず記載してください。

リスク対応計画書にまとめられるものは情報セキュリティ目的以外にも情報セキュリティパフォーマンス評価があります。
管理文書数を減らして間違いなく確実に、そして楽に運用できるよう社内制度を変えていきましょう。

他にも情報セキュリティ担当者目線で書いた仕事術があります。ぜひご覧ください。