2413kb - 日本 ISMS ユーザグループ

テーマ1:
ISMS推進事務局の悩みと解決策
( ISMS推進事務局の機能不全)
日本ISMSユーザグループ
インプリメンテーション研究会
2014年12月19日
主査 羽田 卓郎
リコージャパン㈱
Copyright (c) Japan ISMS User Group. 2014
1
インプリメンテーション研究会メンバー
インプリメンテーション研究会参加メンバー表
No. 会社名
氏名
1
KDDI株式会社
橋本 秀行
2
NECエンジニアリング株式会社
秋山 健一
3
NECエンジニアリング株式会社
大津 剛
4
NTTコミュニケーションズ株式会社
大塚 謙
5
NTTコミュニケーションズ株式会社
桜井 秀紀
6
株式会社NTTデータ
高橋 成文
7
NTTデータ先端技術株式会社
鍋島 聡臣
8
NTTデータ先端技術株式会社
梅津 光彰
9
株式会社アズジェント
駒瀬 彰彦
10 株式会社インターネットイニシアティブ
松原 勝美
11 工学院大学
山崎 哲
12 リコージャパン株式会社
小野 等
13 リコージャパン株式会社
羽田 卓郎
14 株式会社日立製作所
葛西 章広
15 富士通株式会社
冨田 吉弘
16 富士通株式会社
原田 雄司
17 富士通株式会社
山本 正幸
18 個人
橋本 誠
19 個人
大竹
20 個人
魚脇 雅晴
21 個人
中塚 勝
22 個人
原 路子
23 個人
広田 正毅
24 個人
間形 文彦
25 個人
宮下 重美
Copyright (c) Japan ISMS User Group. 2014
秀昇
2
インプリメンテーション研究会のテーマ1の流れ
Step1 2010年
Step2 2011年
可視化手法を用
いたリスク対策
モデル
標準的なリスク
分類と具体的な
管理策の対応モ
デル
Step3 2012年
可視化手法を用
いたリスクアセス
メント手法とその
実践的応用
New-2 2014年
ISMS推進事務局の
悩みと解決策 (ISMS
推進事務局の機能不全)
New-1 2013年
ISMS推進事務局
の悩みと解決策
① 2010年から2012年:リスクアセスメントの標準化によって、標準的
なリスク分類と具体的な管理策の対応モデルを研究し、可視化手法
のモデルの確立とリスクアセスメント手法の実践的応用について検
討した。
② 2013:研究会参加企業のISMS運用・維持・改善に関する困りごと
(悩み)を集め、ブレーンストーミング形式でまとめることとした。
③ 2014:2013年の研究の流れを引き継いで、ISMS事務局の機能不
全の発生やその対処について討論した。
Copyright (c) Japan ISMS User Group. 2014
3
2013年度インプリメンテーション
研究会報告の振り返り
Copyright (c) Japan ISMS User Group. 2014
4
2013年度 検討結果のまとめ
(ISMS事務局の活動に何が起きているか)
Copyright (c) Japan ISMS User Group. 2014
5
検討課題(参加メンバーからの課題提供)
1. ISMS実施運用
に対する部門間の
温度差
2. 増大する一方の
セキュリティ対策
3. 内部監査のマン
ネリ化、内部監査に
よる全社レベルアッ
プの方法は?
5. 部門のISMS推
進者の交代による
不具合
4. 情報セキュリティ
対策基準の暴走(制
限強化方向への拡大
解釈の横行)
6. 情報セキュリティ
対策基準への私的
解釈の横行
7. 教育/資格取得
支援と雇用形態の
多様化への対応
Copyright (c) Japan ISMS User Group. 2014
6
真面目にやっているのに、あたりまえのことが改善できない!
■ 管理者がISMSの運用に熱心ではない
管理者自身の問題として、「教育」や「指導」を通じて自覚を促す。
■ 内部監査はしっかりやっているのになかなか改善されない
重点監査ポイントを定め、監査チェックリストを充実させる。
■ 従業者のISMSに関する意識・理解・力量が低い
定期的な教育や朝礼などで意識向上を図る。
■ 教育はしているが、期待したほど内容が身に付いていない
テストで理解度を確認し所定の点数以下の場合再試験を行なう。
■ リスクアセスメントで決定した対策を実施しているが事故が起きる
事故を起こした人間を問いただし、自己反省を求める。
=課題点の例
=当たり前の対策の例
7 ISMS User Group. 2014
Copyright (c) Japan
7
原因究明のあり方を変える
「人」の資質が原因
であると考えると
原因究明方法 責任追及型
ヒューマンファクターの考え方を
取り入れると
原因追求型
焦点
誰が起こしたか
なぜ起きたか
(本人に原因がある (本人を取り巻く要因との係わりの中
と考える)
にも原因があると考える)
原因
「人」の資質を分析
取り巻く環境を含めた原因を探すと
⇒反抗的態度が原因
⇒わがままが原因
⇒理解不足が原因
⇒「上司のリーダーシップが原因」
⇒「業務効率を阻害するルールが原因」
⇒「業務プロセスの未整備が原因」
特徴
問題を起こす要因 問題を起こす真の要因が見つかり、
としては不足してい そこに対策を打つことが出来るため
るため、再発し易い 、再発しにくい
8
Copyright (c) Japan ISMS User Group. 2014
8
ヒューマンファクターの概念図
m-SHELLモデル
Live Ware
作業者本人
Hard Ware
機械、道具、設備 等
Soft Ware
作業標準、作業指示、
教育訓練 等
Live Ware
上司や同僚など
S
H
M
L
E
L
Management
組織・体制・方針 等
Environment
温度や騒音などの作業
環境
※ m-SHELモデルは、航空業界のヒューマンファクターに起因する事件・事故を分析
するために用いられている手法で、英国人エドワーズが発案し、KLMのホーキンズが
完成させた。更に、日本の東京電力原子力研究所の河野龍太郎氏らがm-マネジメ
ントを追加したものである。
Copyright (c) Japan ISMS User Group. 2014
9
参考:インシデント発生のスクエア(仮称)
動機がなければ考え
ない(不満、不安、金
銭的悩み、欲望、利益
(見返り)、など、動機
となる原因を調査し、
観察する)
自己正当化と逃げ
道がなければ実行
し難い(監視、検知
の仕組みと、記録、
報告の徹底を行う)
四要素が重なっ
ている部分で問
題が発生し易い。
動機/プレッシャー
正当化/逃げ道
機会
技術
機会がなければ実
行できない(機会を
与えない)
技術がなければ実行
できない(高度な技術
で防御するか、管理
者以外には変更でき
ない仕組みとする)
不正のトライアングル(赤○の項目)は、米国の犯罪学者であるD.R.クレッシー
が、人間(犯罪者)の心理面を研究して導き出した理論ですが、情報セキュリティ
の面からみると、トライアングル理論に、「技術」や「逃げ道」などを追加することで、
より効果的にインシデントを防止できる可能性があります。
Copyright (c) Japan ISMS User Group. 2014
10
2014年度
インプリメンテーション研究会報告
(テーマ1研究会開催:7月~12月)
ISMS推進事務局の悩みと解決策
( ISMS推進事務局の機能不全)
Copyright (c) Japan ISMS User Group. 2014
11
2014年度:
インプリメンテーション研究会・テーマ1の取り組み
○テーマの概要:
2013年度は、ISMSの運用について、インプリメンテー
ション研究会参加組織の抱える諸問題を話し合ったが、
2014年度は、その中でも「事務局が機能不全」を起こして
いるのに改善できないのはなぜかを話し合った。・・・あく
までも討議事例であり、特定の1企業や全ての会社組織
に共通の事象ではない。
2014年度のテーマ1は、7月から討議をスタートしたた
め、本セミナーの発表は、7月~10月で行った4回の討議
(フリートーキング中心)結果を基に11月~12月でまとめ
ている。報告の内容は問題点の整理とその原因の追及
という形とし、解決策は提示してはいないが、解決の方向
性は示せたのではないかと考えている。
Copyright (c) Japan ISMS User Group. 2014
12
2014年度:
インプリメンテーション研究会・テーマ1の進め方
2014年のインプリメンテーション研究会・テーマ1は、議題(テーマ)の結論
を出す会議形式ではなく、参加者(12名~15名/回)からの悩み事の相談や、
テーマに関連する自由な意見交換を通じて、参加メンバーが役に立つ「気付
き」を持ち帰れることを目指してきた。フリーディスカッションのため、毎月の研
究会のまとめはマインドマップ形式で主要な発言の要旨を整理した。
いくら頑張っても、インシ
年間計画を立てても、 デントが起きなくて当た
インシデント対応等に り前で、なにかが起きる
追われてなかなか実 と事務局のせいになる
行できない
事務局が特に活動し
ていなくても、インシ
デントさえ起きなけ
れば何も言われない
事務局の機能って
なんだろう。何を
やっていれば事務
局は評価されるん
だろう
インシデントは影響
がはっきりでるので、
被害者から改善を求
められる
ヒヤリハットは影響を
与えていないので、
対処を求める被害者
がいないため、改善
しようというインセン
ティブが働かない
事務局っていうのは、
CISOの補佐じゃないの
か。海外では、CISOが
トップダウンで進めるが、
日本では事務局が主体で
推進する場合が多い
事務局に消極的でやる
気の無いメンバーがいる
と方向性がまとまらず、
改善しようというメンバー
のモチベーションが下
がってしまう
Copyright (c) Japan ISMS User Group. 2014
13
ISMS事務局の主な機能とは(例)
役割
実施事項
ISMSの年間計画立案
・年次でPDCAサイクル
をまわすための活動の
立案
・リスクアセスメントの見直し、年度目的(目標)の
策定、教育・訓練、内部監査、マネジメントレビュ
ー、審査対応などを計画し、スケジュール化する
情報セキュリティ年度
目的の策定
・組織全体の目的の設
定と部門別目的の設定
推進
・組織の目的に関連する課題を解決するための
情報セキュリティ方針に沿った全体の目的とそれ
を実現するための部門別目的を設定させる
部門の活動推進と内
部監査
・部門が行う目的達成の ・部門目的達成のための活動が確実に実行され
ための活動推進及び内 るように、社員教育や、内部啓発活動などを行な
部監査の計画と実施
う。また、内部監査などで実施状況を確認し、活
動の停滞を防ぐ。
情報セキュリティパフ
ォーマンスとISMSの有
効性評価の報告
・部門活動のパフォーマ
ンスと目的達成の評価
及び報告
・部門が行うISMS活動を支援し、そのパフォーマ
ンスを報告させる。また、部門目的の達成状況で
ISMSの有効性を評価しマネジメントに報告する。
マネジメントレビュー
・マネジメントレビューの
準備と開催
・マネジメントレビューの開催日程を調整し、マネ
ジメントが判断すべきインプット情報を準備する。
また、マネジメントレビューの結果(改善指示等)
についてその活動を計画し推進する。
ISMS事務局は、CISOを補佐し、組織の目的(ミッション、使命、義務、任
務等)に対する情報セキュリティ上の課題解決に対する組織の活動が、確実
に実施されるようにPDCAサイクルの計画推進に責任を負うと考えます。
Copyright (c) Japan ISMS User Group. 2014
14
ISMS事務局の機能不全:事例
何が問題か(事象)
ISMSの年間
計画遂行
マネジメント
レビュー
何が原因か(リスク源)
・計画通りに実行されな
いか遅延している
・事務局活動のプロジェクトマネジメント
が確立できていない
・インシデント対応や新たな脅威に対す
る対策の実施が優先と位置付け、満足
している
・計画が実施されなくても追及されない
・計画作成者と遂行結果責任者が同じ
・形骸化し、ISMS事務局 ・トップマネジメントは、インシデントが起
に対するリーダーシップ きないことを望むが、そのために何がで
を発揮できていない
きていなければならないかに関心が薄
い
・トップマネジメントとISMS事務局との日
常的なコミュニケーションが少ない
ISMSの年間計画が実施されないからといって、そのままインシデント
につながるわけではありませんが、ISMS事務局が本来の役割を実行で
きなくなるとすれば、継続的改善のサイクルが崩れ、ISMS全体の劣化を
招くでしょう。
Copyright (c) Japan ISMS User Group. 2014
15
ISMS事務局の機能不全:事例-続き
何が問題か(事象)
組織の部門
責任者
ISMSの有効
性
何が原因か(リスク源)
・ISMS事務局の機能不全に
気付かない
・インシデント対応を含め、ISMS活
動をISMS事務局に全面的に依存し
ている
・日常業務に支障がなければ、
ISMSの計画が実行されていなくて
も問題を感じない
・ISMSの計画した活動が滞っ ・マネジメントシステム(PDCAサイク
ていても、インシデントが起き ル)の計画実施と、リスク対策の実
ていないか、起きても大きな 施が有効性評価と連動していない
影響を組織に与えていなけ
・ISMS活動のパフォーマンスを評価
ればISMSは有効とみなされ せず、組織に大きな影響を与えるイ
る
ンシデントが起きていないことが
ISMSの有効性だと考えている
ISMSの機能不全は、組織全体の問題としてとらえる必要があります。
ISMSの活動が適切に実施されていなくても、通常業務に支障がなけ
れば良いと考えたり、受容できない大きなインシデントが生じなければ、
ISMSは有効であると考えたりするのは、ドアを開けっ放しにしていたが、
泥棒に入られなかったから問題はないというのと同じです。
Copyright (c) Japan ISMS User Group. 2014
16
ISMS事務局の機能不全:原因の考察-1
■
情報セキュリティのインシデントは必ず報告され、関係者から是
正が要求される。しかし、事務局の機能不全は事務局自身が報告
しなければ、関係者から報告されることはなく、機能不全に対する
改善要求が出されることもない。
インシデントには明確な「被害者」が存在し、被害者には、インシデントの
発生を隠ぺいすることを許さないだけでなく、被害の修復と再発防止(是正)
を要求するという一種のインセンティブが働く。
しかし、事務局の機能不全には、明確な被害者となる存在がなく、直接
的な被害を組織に与えるわけでもないため、関係者に機能不全に対する修
復と再発防止を働き掛けるインセンティブが働きにくい。
ISMS事務局は、組織のPDCAサイクルを円滑に機能させる役割を
持っています。ISMS事務局が機能不全に陥るということは、「組織の目
的が適切に設定されない」「目的達成の活動(リスク対応)が停滞しても
放置される」「情報セキュリティのパフォーマンス評価がされない」「組織
のISMSの実態がマネジメントに伝わらない」等々の不具合が生じ、将来
的に大きなインシデントの発生につながるリスクが増大します。
Copyright (c) Japan ISMS User Group. 2014
17
ISMS事務局の機能不全:原因の考察-1(図)
ISMS事務
局の責任
範囲
改善のインセ
ンティブが働く
※インシデントの発生
改善のインセ
※ISMS事務局の機能不全 ンティブが働
かない
情報の盗難発生(事象)
損害の発生(結果)
社内外の利害関係者(被
害者)からの損害回復と再
発防止要求(インシデント
対応)
事務局の怠慢(事象)
直接の原因として損害の
発生なし(結果)
再
発
す
る
セキュリティ事象として
扱われない
×
改善活動に繋がらない
損害賠償と再発防止策の
実施(是正・改善)
インシデントでは、事象の発生と結果(組織への影響)が直接結びつ
いているため、改善に対するインセンティブが働くが、事務局の機能不
全では結果に直接結びつかないため、改善に対するインセンティブが働
きにくいのです。
Copyright (c) Japan ISMS User Group. 2014
18
ISMS事務局の機能不全:原因の考察-2
■
組織におけるISMS事務局の機能が明確に定義されていないか、
曖昧であるために、事務局自身を含め、実行責任の所在が確立し
ていない。また、経営陣(特にCISO)とのコミュニケーションにおい
て、実行責任と結果責任の取り扱いが曖昧なため、経営陣の適切
なリーダーシップが発揮されていない。
経営陣の意識が低く、ISMS事務局に任せきりであれば、ISMS事務局は
実行責任を果たしているという説明を行う必要がなくなるため、計画通りに
ISMSの運営を行わなければならないというプレッシャーを感じない。
また、そのような状況下では、経営陣からのリーダーシップに基づく指示
が出されないため、関係部門(実行部門)においても事務局の機能が果たさ
れていないということに気付きにくくなる。
ISMSを構築・運用している組織におけるISMS事務局の役割と責任
は、それぞれの組織によってさまざまですから、各組織が自身のISMS
事務局の役割と責任を明確に定め、経営陣のリーダーシップの元で活
動することが重要です。そして、その内容を組織のISMS推進組織と共
有することで、組織全体が一体的な責任体制の下で活動する事ができ
るようになります。
Copyright (c) Japan ISMS User Group. 2014
19
ISMS事務局を家の持ち主に例えると
家(ISMS)は構築した時点から劣化し、定期的なメンテナンス
(PDCAサイクルの管理)をしなければ朽ち果ててゆく。人が住んで
(PDCAサイクルの管理をして)いれば100年でも持つ(継続的に維持
される)が、空き家になる(事務局が機能不全になる)と数年で人が住
める(セキュリティが保たれた)状態ではなくなる。
人が住んでい
る状態
空き家(管理者不在)の状態
人の住んでいる家は、よほどのことがなければ右の家のような状態に
はなりませんが、ISMSの事務局が機能不全に陥れば、知らないうちに
組織のISMSは右の家のような状態になるでしょう。家であれば、目に見
えるのですぐに異変に気付きますが、ISMSは目に見えない活動なので、
知らないうちにボロボロになっているかもしれません。家と同じように、
ISMSの活動も不断(普段)の手入れが必要なのです。
Copyright (c) Japan ISMS User Group. 2014
20
ISMS事務局の機能不全を防ぐには
ISMS事務局は、組織のISMS推
進組織の役割と責任を明確にし、
各組織が自ら役割と責任を果た
すことを求める。 ISMS事務局の
責任範囲ではないことについて
関与しすぎないようにする。
マネジメントシステム(PDCAサ
イクル)の計画実施とリスク対
策の実施におけるパフォーマ
ンスと情報セキュリティ目的達
成の関連を明確にし、ISMSの
有効性評価の基準とプロセス
を確立する。
ISMS事務局として、果たすべき機
能を明確にすると共に、その機能
遂行計画の推進に対するパフォー
マンスを評価し、経営陣に報告する。
ISMS事務局は、その活動について
経営陣に遅滞なく報告し、ISMSの
運用の実態と、現状における課題
について経営陣の指示を受ける。
経営陣に対し、ISMS事務局の機能
とその機能不全がもたらす影響を
説明し、経営陣の関与の重要性を
認識させる。
ISMS事務局は、組織のISMSが果たすべき機能が劣化しないように、
定期的なメンテナンス(PDCAサイクルの管理)をする事です。家の機能
は、住人の保護(雨風や暑さ寒さを防ぐ、泥棒などの侵入を防ぐ、生活
用品の収納と保護、食と住の環境の確保など)ですが、ISMSの機能は、
組織の情報資産のCIAの喪失からの保護であり、ISMS事務局は、その
機能が損なわれないために必要な活動を行うのです。
Copyright (c) Japan ISMS User Group. 2014
21
ISMS事務局と経営陣の関係の考察
高い
経
営
陣
の
意
識
・
笛吹けど踊らずで、マネジ ・ マネジメントのリーダーシッ
メントのリーダーシップを
プの下で活発な活動が展開
ISMS事務局が受止めきれず、 される
指示が末端まで伝わらない
・ マネジメントとISMS事務局
・ 現場の状況が的確に把握
が、バランスの取れた緊張関
できないため、マネジメントの
係を持ち、ISMSの維持・改善
判断が適切に行われない
が継続的に行われる
・
ISMSの推進がマンネリ化
・ ISMS事務局の意欲が空回
していても、マネジメント及び
りし、マネジメントに評価され
ISMS事務局のどちらからも改
ないため、モチベーションの
善提案が出てこない
維持が困難となる
・ ISMS事務局が機能不全に ・ ISMSの維持・改善の提案
陥ってもどこからも問題視さ
に対し、マネジメントが消極的
れず、ISMSの事件・事故が起
で、適切な指示を出さず、結
きても現場の責任とされる
果的に改善が進まない
高い
低い
ISMS事務局の意識
Copyright (c) Japan ISMS User Group. 2014
22
ISMS事務局の機能不全自己チェックリスト(参考)
□ 1. 経営陣やCISOと定期的(月1回以上)に会話(報告・相談)ができていますか
□ 2. 各部門代表者(部門推進者)とISMSの活動とパフォーマンスに関する会話が
できていますか
□ 3. ISMSの活動は、組織の目的に対する情報セキュリティの課題を解決するよう
に設計され、ISMSの有効性を目的に対する達成の度合いで評価しています
か
□ 4. ISMSの活動及びリスク対応計画が策定され、遅延や不実施等が起きないよ
うに管理できていますか
□ 5. インシデント発生時における、ISMS事務局の役割と、インシデント発生部署と
の役割は明確であり、現場部門が自主的に解決できるようにしていますか
□ 6. 内部監査で同じ内容の指摘が毎年続いたり、複数の部門で同じ指摘が発生
していませんか
□ 7. マネジメントレビューは、あなたの会社(組織)のISMSを改善していますか
□ 8. ISMSの活動は、あなたの会社の目的とそれを達成するための活動(ビジネス
チャンスの獲得)に伴う課題を解決していますか
□ 9. ISMS事務局は、会社(組織)のISMSを推進するために必要な力量を確保出
来ていますか
□ 10. トップマネジメントは、ISMSの取り組みの重要性を理解し、適切なリーダー
シップを発揮していますか
Copyright (c) Japan ISMS User Group. 2014
23
ISMS事務局の機能不全:7月討議結果
Copyright (c) Japan ISMS User Group. 2014
24
ISMS事務局の機能不全:8月討議結果
Copyright (c) Japan ISMS User Group. 2014
25
ISMS事務局の機能不全:9月討議結果
Copyright (c) Japan ISMS User Group. 2014
26
ISMS事務局の機能不全:10月討議結果
Copyright (c) Japan ISMS User Group. 2014
27
事務局が意識すべきリスクマネジメント(参考)
リスクの特定
④
リスク対応
⑤
リスクの回避
リスク源
リスクの存在又は現象
機会の追求のためのリスク増加
結びつく
リスク源の除去
弱点のある状態
原因
起こり易さ
③
起こり易さを変える
結果を変える
事象
リスク源によって引き起こされ
、目的達成を阻害する出来事
リスクの共有
リスクの保有
影響
② 結果
事象の発生により、目的を達
成できないという結果(損害の
発生など)
⑥
パフォーマンス評価
(目的達成のための活動)
①
情報セキュリティ
目的
①~⑤はリスク対応を行うための検討を行う順番を表している。情報セキュリティ目的(①)を設定すると、それが達成でき
ない場合の結果(②)を想定する事ができる。次に、結果を引き起こす事象(③)を識別し、その事象の原因となるリスク源(
④ リスクの存在または現象とその存在又は現象が事象に結びつくための状態)を特定する。リスク源から結果への関連が
明確になった時点で、必要なリスク対応(⑤)を決定し、情報セキュリティ目的達成のための活動を実施する。
28
Copyright (c) Japan ISMS User Group. 2014
28
事務局が意識すべき情報セキュリティの運用(参考)
組織の目的を達成するた
めの活動は、「機会」を得
るための活動につながる。
組織の状況
利害関係者
認識
(決定)
(箇条4.2)
⑤ニーズ
⑥期待
認識
(決定)
組織の目的を達成する
ための活動に付随する
課題は、目的達成に対
する「リスク」につながる
。
(箇条4)
情報セキュリティ
(箇条5.1、5.2)
①組織の目的
(箇条4.1)
③内部の課題
④外部の課題
組織の使命
(箇条6.1.1)
②組織の目的を達成
するための活動(機会
を得るための活動)
⑨情報セキュリティ方針群
(箇条6.2)
⑩情報セキュリティ目的
(部門階層別目的を含む)
(箇条6.1.2、.6.1.3 )
組織の課題
(箇条4)
⑦組織の目的を達成するた
めの活動と、利害関係者のニ
ーズ及び期待の実現に伴う
課題及び組織の目的に対す
るリスク
(箇条6.1.1)
⑧情報セキュリティに
関連する組織全体の
目的に関わる課題と
リスク
⑪情報セキュリティ目的に
対するリスク対応
(箇条6.2、8 )
⑫情報セキュリティ目的達
成のための活動
組織の目的に対する「機会」
は②で選択しているため、⑪
⑫の時点では、機会の選択
はない。
情報セキュリティは、組織全体の目的を達成するための活動「(ビジネス)機会」に伴うリスクの一部であり、組織
の目的を達成するための活動を適正な状態に保つために必要なリスク対応活動になります。上図のように、組織全
体の目的に対するリスクを明確にしたうえで、情報に関連するリスクを識別するところから情報セキュリティ対応がス
タートするのです。 ISMS事務局は、ISMSの運用についてCISOを補佐するに当たり、この図の関連を認識し、常
に「組織の目的に対する課題を解決する」という姿勢が必要です。
Copyright (c) Japan ISMS User Group. 2014
29
最後に(まとめ)
m-SHELLモデル
個人
H
S
L
L
M
E
何かがうまくいかない時、「人(個人)」の資質のせ
いにしていないだろうか。
m-SHELLモデルの採用によって、航空機のトラブ
ルが減少しているように、ISMS事務局の機能不全も、
個人の資質だけに着目しても改善しない。
● ISMS事務局の機能不全の防止では以下のことを考慮する。
• 事務局の機能を明確に定義し、役割と責任を確立する
• ISMS事務局員(責任者を含む)に求める力量を決定し、教育・訓練を通じて力
量を身に付けさせる
• 情報セキュリティだけの活動ではなく、「組織の目的と機会に付随するリスク
をISMSが低減できているか」を基本とした活動を設計し、実施する
• 経営陣、ISMS事務局、各部門責任者の役割分担と連携の仕組みを構築する
• 経営陣に、ISMSが機能することでどのような(組織の機会に対する)リスクが
低減できているかを知らせ、経営の観点での指示を受ける
• 情報セキュリティ委員会は、ISMS事務局の機能を定期的にチェック/レビュー
し、機能低下や遅延が生じた場合には、経営陣に報告すると共にISMS事務
局に改善を勧告する。
• ISMS事務局の活動が、業務として適正に評価されるようにする
Copyright (c) Japan ISMS User Group. 2014
30