|
■情報セキュリティ意識チェック
情報セキュリティに対する皆様の意識や知識をセルフチェックするものです。
「YES」か「NO」か、考えてみてください。
Q.ISMSの内部監査を行う際、監査する者は、自分の業務も客観的に監査しなければならない。
|
| |
(1)YES(そう思う)
(2)NO(そうは思わない)
|
| ※解答及び解説は本文末尾に記載しています。 |
■情報セキュリティ基礎講座
「レンタルオフィスで認証取得は可能か?」
「先日、レンタルオフィスでもISO27001は取れるのか?」という質問をいただきました。
要は認証を取れるのかということですが、結論は「レンタルオフィスだからという理由で認証が取れないということはない」ということになります。
回りくどい言い方になりますが、マネジメントシステム(この場合はISMS=情報セキュリティマネジメントシステム)を構築することができる会社であれば、基本的にどのような会社であっても最初から不可能ということはありません。
重要なことは、レンタルオフィスであること、オフィスシェアリングしていることによって発生するリスクを分析し、認識するということです。
裏を返せば、立派な自社ビルを持っていても、そこから発生するリスクが全く分析できていない場合、ISMSとしての完成度は、リスク分析がしっかり出来ていて、分析の結果に応じた適切な対策が取れているレンタルオフィスの会社のほうが高くなるでしょうということです。
確かに、一般的にレンタルオフィスの会社が抱えるリスクは高いことが多く、セキュリティパフォーマンス(入り口に何台監視カメラを設置したか、オフィスの壁を何重にしたか等)を上げることは難しいかもしれませんが、ISO27001の審査はパフォーマンスの審査ではありません。
「うちの会社はこんなだから認証は無理だな」とお悩みの方、「こんな」の中身は様々だと思いますが、一度ご相談ください
■[連載]〜コンサルの現場から〜
内部監査について その1
ISMSの構築・運用では、内部監査が必須となります。
とくにISO27001の認証取得を目指される場合、内部監査を行っていないと重大な不適合(不合格)となってしまいます。
ただし、これまでに内部監査を行ったことのない企業が、いざ実施しようとしても、なかなかうまく行くものではありません。
うまく行かない要因として、以下のようなことが考えられます。
・経営陣が、内部監査に理解を示さない/積極的でない。
・監査を受ける部門が、多忙などを理由に非協力的。
・監査計画がきちんとなされていない。
・監査メンバーの監査力量が不足。
・仲の良い同僚などに対しての監査がお手盛りになってしまう。
(=甘い監査になる)
その他にも様々な理由がありますが、上記のいずれをも克服しないと内部監査の実施自体がうまくいかないか、あるいは行ったとしても、効果が望めません。
その中でも、一番重要なのは、内部監査に対する経営陣の理解です。
経営陣が内部監査に積極的であれば、各部門へしっかりと監査を受けるようにと指示が出ますし、監査計画に関してもきちんとしたものを求めます。
さらには、監査メンバーに監査の教育を受けさせて、効果的なチェックができるような、そしてお手盛りにならないような力量を備えさせることができます。
---------------情報セキュリティ意識チェック 解答・解説--------------
Q.ISMSの内部監査を行う際、監査する者は、自分の業務も客観的に監査しなければならない。
(1)YES(そう思う)
(2)NO(そうは思わない)
(2)NO(そうは思わない) が正解
内部監査では、自分の業務を自身で監査してはいけません。自分のことは、客観的にチェックはできませんので、他の監査人に監査をしてもらう必要があります。
|
