TOP
>
プロジェクト管理
> ISMSの運用
ISMSからみる情報セキュリティ対策
第5回:ISMS運用手順
著者:
みずほ情報総研 青木 淳
2005/10/31
1
2
3
4
次のページ
ISMSの運用
ISMS構築後は立案したリスク対応計画に基づいて実施するとともに、ISMSを適切に運用していく必要がある。今回はISMSの運用に関するポイントを解説する。
教育・訓練
まずは教育・訓練について解説していく。ISMSでは教育・訓練について、以下のようなことを要求事項としてあげている。
組織は、ISMSにおいて、明確にされた責任を割り当てられた要員全員全てが要求される業務を実施する力量をもつことを、次の事項を実施することによって確実とすること。
ISMSに影響がある業務に従事する要員に必要な力量を明確にする。
必要な力量がもてるように適切な教育・訓練を実施し、必要な場合には、適格な要員を雇用する。
実施した教育・訓練及びその他の講じた処置の有効性を評価する。
教育・訓練、技能、経験及び資格についての記録を維持する。
組織はまた、該当する要員全てが、自らの情報セキュリティについての活動のもつ意味とその重要性を認識し、ISMSの目標達成に向けて自らが、どのように貢献できるかを認識することを確実にすること。
表1:教育・訓練の要求事項
力量とは知識と技能を適用するために実証された能力であり、情報セキュリティに関する実作業の能力を指すものである。つまりこの力量を明確にして維持するため、適切な教育・訓練を実施することを認証基準では求められている。
まずISMSに影響がある業務に対して、要求されている力量が何であるかを明確にする。例えば、情報セキュリティに関する業務に半年以上従事する、あるいは情報セキュリティに関する該当の外部研修に参加していることなどである。また教育についても、ISMSを管理している部門、ISMSの認証取得範囲の部門、ISMSを担当する経営層などの担当別に必要な力量を明確にするとよい。
力量を明確にしたうえで、要員に必要な力量がもてるように教育・訓練をしていく。教育・訓練にもコストと時間がかかるので、その対象ごとに必要な教育・訓練の計画を立案する。教育の計画・実施にあたっては、すでに人事部などで教育のカリキュラムを実践しているのであれば、それらを有効活用すると効率的に実施することができる。
次に、実施した教育・訓練やその他の講じた処置が、結果として業務遂行面で適切であったかを評価する。実はこれが重要で、
教育を実施しても本当に効果があったかを確認する必要がある
。したがって、教育を実施した後に自己点検などでその効果測定を実施し、その結果をマネジメントレビューなどで評価するとよい。
教育・訓練や技能・経験・資格について記録し、これを記録として維持管理する。教育の記録をとることも重要で、外部研修などに参加した場合も受講報告を必ずあげてもらうようにする。社内研修を実施した場合、参加者の受講報告は当然であるが、参加できなかったメンバーに対するフォローアップも重要である。参加できなかったメンバーには研修資料を渡して別途説明を行い、資料参照後に報告をあげてもらうことなどを実施することも重要である。
1
2
3
4
次のページ
著者プロフィール
みずほ情報総研株式会社 青木 淳
みずほ情報総研株式会社 システムコンサルティング部 シニアマネジャー
情報セキュリティを中心としたコンサルティング業務を担当。最近のプロジェクトでは、ISMS適合性評価制度認証取得支援コンサルティング、情報セキュリティ監査、個人情報保護法対策支援コンサルティング、情報セキュリティポリシー・スタンダード策定コンサルティングなど。ITコーディネータ、ISMS審査員補。
INDEX
第5回:ISMS運用手順
ISMSの運用
マネジメントレビュー
内部監査
文章化された手順の確立
