ISO27001認証を受けるコツ：最終回「認証審査で重点的にみられる箇所」

 

 

この前始まったばかりの「ISO27001認証を受けるコツ」ですが、三回目にして早くも堂々の最終回です。今回は「認証審査で重点的にみられる箇所」について書いていきたいと思います。 初めての認証審査は誰でも緊張するものです。その緊張原因って大体、

 

「審査員は認証審査の時一体どこを重点的にほじくるのか？」

 

この一言に尽きると思います。

 

どんなに完璧に社内セキュリティー対策を行ったとしても、審査員はそれを生業とした経験豊富なプロ、対する会社側は駆け出しのひよっ子自分たちが優位な立場にいるとはとても言えません。特に初回の認証審査ではことさら弱気になってしまうものです。その不安を少しでも和らげられればと思い、最終回のテーマにしました。

 

前置きが長くなってしまいましたが、審査員が認証審査に時に一番ほじくるのは各社員のPCの中身です！

 

それはなぜかというと、情報資産に関するリスクの中で一番恐れるべきことは、情報資産の盗難でも破壊でも消去でもなく、意図しない情報漏洩だからであると考えます。

 

もちろん悪意を持って盗難された情報資産は、悪用されることが前提となりますので、大きな被害が想定されることは言うまでもないことですが、どんな万全なセキュリティー対策を施したとしても完全にすべての盗難を防ぐことは難しいでしょう。それらの対策に掛るコストもばかになりません。ですが、見えない脅威におびえ、時間とお金を無駄にするより、より現実性が高く手軽に対策出来るリスクをどこまで低減することができるかのほうが、遥かに重要なのではないでしょうか。そこでまず考えられるのが、社員のPCやスマホから意図しない情報漏洩を防ぐ為の対策です。

 

PCやスマホ関係のセキュリティールール作りと実施は、手軽にできて効果のある社内のセキュリティー対策の最重要項目であると考えています。

 

PCやスマホから情報が漏洩する原因は主に下記の3つが考えられます。

 

・PC、スマホの紛失

・メール添付ファイル誤送信

・ウィルス感染が原因による漏洩

 

審査員も同様の認識であるらしく、審査の際、審査員は業務中の社員に声を掛け、弊社の定めたセキュリティールールに従い、下記の事柄をくまなくチェックされます。

 

・ウィルス対策ソフトがインストールされているか

・ブラウザで業務に関係の無い危険なWEBサイトを閲覧していないか

・社内サーバからダウンロードした重要なファイルをPC内に消去せずに残していないか

・社内で許可されていないソフトウェアを無断でインストールしていないか

・スクリーンセーバーの動作時間設定と復帰後のパスワード入力設定

・メールで重要なファイルを送る際閲覧パスワードを掛けているか

 

これらを審査員がチェックしている時、審査対応を行っているISO27001のセキュリティ担当者が出来ることは、審査員の隣に佇み一つも不備が無いことを祈る事のみです。ここでしょうもないルール違反などが見つかると、セキュリティー担当者が会議室の中での審査において、いくら虚勢と詭弁と誤魔化しを駆使し、

 

「我々の社内のセキュリティー対策は万全です。加えて社員も私を筆頭に完璧超人ばかりなのでルール違反なんて起こるはずがありません。そもそも我々を審査しようなんてこと自体ナンセンスですよ。」

 

というイメージを審査員に植え付けたとしても、壮大な前フリにしかならないので注意が必要です。逆に、表層的な所のみ取り繕っているだけで内容が全く伴っていない会社なのではないかと、審査員の不信感を与えてしまい審査がより厳しいものになってしまいます。審査の際は変に包み隠そうとせずオープンな態度で臨み、現在のセキュリティー対策での悩みなどを相談すると、良いアドバイスを貰えたりしますので、担当者は常に正直な態度を心がけましょう。