情報セキュリティポリシーの評価・見直しにおいて組織的取組み：情報セキュリティアドミニストレータ試験対策

　組織の情報資産を取り巻く環境というのは、日々刻々と変化していますので、
　情報セキュリティを継続的に改善していかなければなりません。

　そのために、「組織として実施すべきことは何か」を考えてください。

　以下みなさんからの回答はどれも的を得ておりますので、一つずつみていきましょう。

>○ポリシーと実態との相違を十分考慮する。
>　・関係部局の意見聴取等を行い、実態把握を行う。
>○絶えず最新の状態に保つ。
>　・定期的に検査を行なう。
>　・日頃から新たな攻撃方法の情報収集に努める。
>○実態に即したものとする。
>　・新たにリスク分析から行なう。
>○周知徹底させる。
>　・再度配布及び適用する際には効果的な方法を検討し、実施する。
>○ガイドラインへの反映
>　・ポリシーの評価・見直し結果については、このガイドラインへ反
>　　映させる。

　・内部者（利害関係者）からのフィードバック
　・監査からのフィードバック
　・セキュリティ活動の実施状況のフィードバック
　・変更されたセキュリティポリシの周知徹底
　・セキュリティポリシの見直し／維持

>(ⅰ) 監査
>　情報システムの情報セキュリティについて、監査を行い、その結果
>　をポリシーの評価・見直しに反映させる必要がある。
>(ⅱ) 点検
>　ポリシーに沿った情報セキュリティ対策の実施状況について、利用
>　者に対するアンケートや自己点検を行うことを定める。
>(ⅲ) ポリシーの更新
>　ポリシーの更新は、策定の場合と同様に、情報セキュリティ分野の
>　専門家による評価も活用しつつ、関係部局の意見等を踏まえ、その
>　妥当性を確認する手続を経ることが必要である。

　・監査からのフィードバック
　・内部者からのフィードバック
　・セキュリティポリシの見直し／維持

>・ポリシー及び情報セキュリティ対策の評価、情報システムの変更、
>　新たな脅威を踏まえ、定期的に対策基準の評価・見直しを適切に行
>　うことが重要。
>・ポリシーを実態に即したものとし、情報セキュリティ水準を高く保
>　つためにも、評価・見直しは情報セキュリティ委員会の下で行うこ
>　とが必要。
>・関係部局の意見聴取、ヒアリングなど
>・新たなリスク分析
>・新たな攻撃方法に対応するための情報収集
>・効果的な再配布、適用の検討と実施

　・環境（組織、技術的、物理環境、法令遵守など）の変化への対応
　・責任部門の明確化（情報セキュリティ委員会の下で実施）
　・内部者（利害関係者）からのフィードバック
　・セキュリティ情報の収集
　・変更されたセキュリティポリシの周知徹底

>　セキュリティポリシや対策基準は常に実態に即したものとし、実態
>との相違を十分考慮し、情報セキュリティ水準を高く保つことが重要
>であり、（１）定期的な評価・見直しを適切に行い、（２）評価・見
>直しはセキュリティ委員会の下で行い、（３）最初の更新は関係部局
>の意見聴取等を行って実態把握を行い、（４）更新の際には新たにリ
>スク分析から行い、（５）日頃から新たな攻撃方法の情報収集に努め
>ポリシの更新に活用すること等が重要である。

　・監査からのフィードバック
　・責任部門の明確化（情報セキュリティ委員会の下で実施）
　・内部者（利害関係者）からのフィードバック
　・環境（組織、技術的、物理環境、法令遵守など）の変化への対応
　・セキュリティ情報の収集
　・セキュリティポリシの見直し／維持

>・情報セキュリティーの監査（外部の機関に委託する場合は適切な委
>　　　　　　　　　　　　　　託先の選定）
>・情報セキュリティー対策の実施状況の把握の為の利用者部門へのア
>　ンケートや自己点検
>・ポリシーの更新の際の資料となる新たな攻撃手法の情報収集や日頃
>　からの関係部局への意見聴取
>・ポリシー更新後の利用者への再頒布や周知徹底を促す為の効果的導
>　入方法の検討

　・監査からのフィードバック
　・内部者（利害関係者）からのフィードバック
　・セキュリティ情報の収集
　・変更されたセキュリティポリシの周知徹底

　明確に記述されていませんでしたので、一つ追加しておきます。
　・「処理の誤りやセキュリティ事件・事故の記録」からのフィードバック

>外部の機関を活用して監査を行う場合、当該機関に情報システムの弱
>点が知られることになるということを十分留意の上、信頼性について
>慎重な検討を行い、機関の選定を行うことが必要である。
>また、4)の守秘義務についても特に注意が必要になると思います。
>
>1)目的、権限と責任
>－情報セキュリティ監査を実施する目的および対象範囲、ならびに情
>　報セキュリティ監査人の権限と責任は、文書化された規定または契
>　約書などにより明確に定められていなければならない。
>
>2)独立性、客観性と職業倫理
>－外観上の独立性、精神上の独立性、職業倫理と誠実性
>
>3)専門能力
>－情報セキュリティ監査人は、適切な教育と実務経験を通じて、専門
>　職としての知識および技能を保持しなければならない。
>
>4)業務上の義務
>－注意義務
>　守秘義務
>　（情報セキュリティ監査人は、監査の業務上知り得た情報を正当な
>　　理由なくほかに開示し、自らの利益のために利用してはならない。）
>
>5)品質管理
>－情報セキュリティ監査人は、監査結果の適正性を確保するために、
>　適切な品質管理を行わなければならない。

　各項目とも外部の機関を選定する際に重要な項目です。

　外部の機関をどのように選定すればよいかという声に応えて、
　情報セキュリティ監査企業台帳というものが運用されています。

　情報セキュリティ監査企業台帳を参考に「信用」「経験」「スキル」「体制」「費用」
　を考慮して選定することになります。

　経済産業省によって、平成15年4月1日から「情報セキュリティ監査制度」が運用が開始され、
　情報セキュリティ監査の実施主体を登録する「情報セキュリティ監査企業台帳」は
　平成15年6月1日から運用が開始されました。

　「情報セキュリティ監査企業台帳」
　http://www.meti.go.jp/policy/netsecurity/is-kansa/

>　当該機関の情報システムの弱点を知られてしまう事を十分考慮に入
>れ、信頼性について慎重な検討を行い、機関の選定を行う。また、契
>約時に秘密保持契約の条項を設けてこれらにおける責任を明確にする
>事で監査により知り得た情報の不正使用等に対する抑止を促す。

　機密（秘密）保持契約は重要なキーワードです。

　情報資産の管理下が異なるとセキュリティレベルが一定に保つことが困難となります。

　外部の機関を活用して監査を実施する場合、なぜ機密保持契約を結ばなければならないのか
　ということを十分理解して置いてください。

>今回の課題に合わせて内部監査の問題点について調べてみました。
>（JNSA 2003年度WG活動成果物「セキュリティ監査WG」より）
>
>・リスクアセスメント（評価、査定）、項目の洗い出しの妥当性に欠ける
>・監査の実施において、客観性、独立性に欠ける
>・対外的に公表できる形を作るのが難しい
>
>また、情報セキュリティ監査企業台帳について初めて知りました。
>「監査人ってどういう人が携わってるの？」という素朴な疑問が解決
>しました。さらに、「情報セキュリティ監査」と「ISMS適合性評価制度」
>の違いについても引き続き確認していきたいと思います。

　情報セキュリティ監査制度とISMS適合性評価制度について４項目挙げておきましょう。

　１．情報セキュリティ監査制度は、「全体」に対する保証・助言だけでなく
　　「一部」という概念を組み入れている。

　２．情報セキュリティ監査制度では、必要に応じて「コンピュータウイルス対策基準」
　　などの他の基準を追加し、情報セキュリティ管理基準のカスタマイズが図れる。

　３．情報セキュリティ監査は、現状と目標とすべき基準とのギャップを
　　指摘することでそれを是正し、段階的なレベル向上を図ることができる。

　４．ISMS適合性評価制度が主に「保証」を念頭に置いたものであるのに対し、
　　情報セキュリティ監査制度「助言」を重視している。

>セキュリティーポリシーとは、その策定に要する労力より、運用にか
>かる労力のほうがはるかに大きいという記事をインターネットで見た
>事があります。セキュリティー管理者にとって現実の環境に即してい
>て、かつ社内に十分に浸透したポリシーを作り上げ、維持する事は、
>とても大変な作業であるという事を改めて感じました。

　まさしくその通りです。
　情報セキュリティ監査は、外部の認証取得のためだけではなく情報セキュリティを
　継続的に改善していくことをサポートする意味で重要な活動です。