ISO27001認証を受けるコツ：第二回「枠組み(社内の情報セキュリティーのルール)策定時の心得 ～できないことは、やらなくて良し～」

さて、「ISO27001認証を受けるコツ」第二回目ということなんですが、投稿2回目にして早くも志の低い感じのテーマになってしまいました。 その辺の批判には聞く耳持たず、今回は社内の枠組み(社内の情報セキュリティーのルール)を策定する際の心得を書いていきたいと思います。今回のテーマの重要性を説明するには、まずISO27001認証取得のスタートに潜む落とし穴に着目する必要があります。

 

まず、ある日突然、社内で誰かが、

 

「ウチもISO27001認証を受けよう、だって名刺にISO27001認証マークが印刷されているとクールだからね。」

 

と言い出します(しかも皆が忘れた頃にかわるがわる定期的に)。そして、その直後他の誰かが、

 

「そうは言っても、認証を受けるには今のゆるゆるな社内セキュリティではダメだよね、まず、セキュリティ設備として社内のありとあらゆるドアに生体認証システムを導入して外部からの不正な侵入をシャットアウトしなきゃ、あと、非常用電源装置まで用意したサーバルームを作って社内にあるサーバはすべてそこへ放り込まなきゃ、他には会社の入り口には監視カメラも欲しいし・・・、お金掛るな、しかも面倒くさいし・・・、」

 

と言い出すことで、だんだん皆のテンションが下がってゆき結果、ISMS認証取得は何度となく先送りにされる訳です。

 

そこにISO27001認証取得になかなか踏み切れない落とし穴があります。実は今回のテーマにあるとおり、ISO27001のセキュリティルール策定にあたっては、「(今すぐに)できないことは（無理に）やらなくても良し」なのです。

 

セキュリティルールを作る上で大切なことは、社内の現状のセキュリティの状況と守るべき情報資産を把握した上で、情報資産を守る為に必要なセキュリティールールをまず自分たちに出来る範囲で策定し、それを順守していくということです。

 

セキュリティを保つための社内設備を揃えるには、往々にして費用と時間が掛ります。導入したいと思いながらも予算の関係上すぐに準備出来ない設備等も有るでしょう。そういった時は、簡単なセキュリティルールを定めた上でそれが問題無く守れる様になってから、少しづつセキュリティルールを厳しくし、それに見合った設備を導入していけば良いのです。当然、余りにも緩いセキュリティルールや設備の場合、当然、認証の際に審査員に突っ込まれる訳ですが、そういういう時は、

 

「仰っていることいちいちごもっともなんですが・・・、現状、我々にできることはここまでなので、今回はなんとかこれで勘弁してもらえませんかね？あ、もちろん今のご意見は今後の改善に役立たさせてもらいますので・・・、ハイ、」

 

大体、この一言で切り抜けられるのではないかと思います。しかし、この呪文はISO27001認証を取得してから数年間は有効なのですが、次第に効き目は弱まってきますので、セキュリティルールの日々の改善は必須だと考えておきましょう。