第6回：審査対応と更新 (3/4)

ISMSからみる情報セキュリティ対策

第６回：審査対応と更新
著者：みずほ情報総研青木淳 2005/11/14

ステージ2審査

ステージ2審査では組織がその方針・目的・手順にしたがってセキュリティポリシーを実施しているかを確認する。ISMSがISMS認証基準やその他の標準に照らして合致し、方針・目的・目標を達成しているかを確認する。ステージ2審査の目的は以下の内容を確認することである。

被審査組織が、そのセキュリティポリシー・目的・手順を確実に遵守してこと
ISMSがISMS認証基準（Ver.2.0）および関連する文書に適合していること（適合性）
組織のセキュリティポリシー目的を達成しようとしていること（有効性）

表7：ステージ2審査の目的

ステージ2審査の対応

ステージ2審査における審査対象はISMSを適用する組織全体となる。業務内容が同様の組織が複数ある場合、サンプルとなる部署を選んで対象とすることがある。ISMS認証基準で見るとすべての要求事項が対象となるが、審査の焦点は次の通りである。

情報セキュリティリスクのアセスメントとISMSの計画フレームワーク
適用宣言書
情報セキュリティポリシーおよびセキュリティ目的
情報セキュリティ目的や目標に対するセキュリティパフォーマンスの監視、測定、報告やレビュー
情報セキュリティレビューやマネジメントレビュー
情報セキュリティポリシーに関するマネジメントの責任
情報セキュリティポリシー、リスク評価の結果、情報セキュリティの目的・目標、プログラム、手順、実施結果およびセキュリティレビューの結果の関連性

表8：審査の焦点

したがって、こちらの対応も基本的にステージ1審査と同様に、審査用想定問答集の作成や模擬審査が審査対応の準備となるが、ステージ1審査と違ってISMSを構築したきた担当者ではなく、認証取得範囲組織のユーザへの審査も入るので、ステージ2審査の対応としては、更に徹底する必要がある。例えば、次のようにQ&Aの内容をある程度具体的に提示して、ユーザが回答しやすいようにする。

Q&A事例
	情報セキュリティポリシーの内容を知っていますか。また、情報セキュリティポリシーを踏まえ、あなたのなすべきことは何ですか。
	情報セキュリティポリシーの骨子を答え、その後「情報セキュリティに関する手順書「ISMS文書類」を遵守して、○○業務を遂行することです。」

このような事例をユーザーに提示し、模擬審査を実施して改善的を明確にするとよいと思われる。ステージ2審査の想定問答集の例を表9に示す。

想定される質問・要求事項

PCの利用について

IDとパスワードはどのように管理していますか。また、パスワード設定ルールはありますか。

クライアントPCを使用する際のルールを教えてください。

クライアントPCにはスクリーンセーバ・ロックが設定されてますか。設定を教えてください。また、設定を見せてください。

ウィルス対策はどのように実施していますか。

ウィルス感染を発見した場合、どのように対応しますか。

電子メールの利用について

電子メールで機密情報の授受を行うことがありますか。ある場合、どのようなルールで実施していますか。

電子メールを私用アドレスや携帯電話に転送することがありますか。

インターネットの利用について

インターネットからソフトウェアのダウンロードを実施していますか。

インターネットの利用に関するルールはありますか。

表9：ISMS想定問答集（ユーザ用）

前のページ 1 2 3 4 次のページ

著者プロフィール
みずほ情報総研株式会社青木淳
みずほ情報総研株式会社システムコンサルティング部シニアマネジャー
情報セキュリティを中心としたコンサルティング業務を担当。最近のプロジェクトでは、ISMS適合性評価制度認証取得支援コンサルティング、情報セキュリティ監査、個人情報保護法対策支援コンサルティング、情報セキュリティポリシー・スタンダード策定コンサルティングなど。ITコーディネータ、ISMS審査員補。