情報セキュリティ監査の重要性：情報セキュリティアドミニストレータ試験対策

　ISMS認証基準（Ver.2.0）によると、マネジメントレビューは以下の
　ように定義されています。

　◇マネジメントレビュー　とは。。。

　　経営陣は、組織のISMSが、引き続き適切で、妥当で、かつ、有効であることを
　　確実にするために、あらかじめ定められた間隔でISMSをレビューすること。
　　このレビューでは、ISMSに対する改善の機会の評価、情報セキュリティポリシー
　　基本方針及び情報セキュリティ目標を含むISMSの変更の必要性の評価も行う
　　こと。また、このレビューの結果を明確に文書化し、その記録を維持すること。

>経営陣は、情報セキュリティ監査を通してマネジメントレビューとして、
>情報セキュリティポリシーや必要となる経営資源を見直すことになる。

　情報セキュリティをPDCAサイクルで維持管理していくために、
　マネジメントレビューは重要な役割を担っています。

　企業の情報セキュリティを取り巻く環境は日々刻々と変化している上、
　費用対効果の観点からも現状の情報セキュリティ管理が適切であるかどうか
　評価しなければなりません。

>経営陣は、情報セキュリティ監査を含む「点検」の報告を基に、マネ
>ジメントレビューを行って、目標が達成されたかどうかの判断や必要
>があればその結果に対する改善をしなければならない。

　マネジメントレビューでは、大きく２点について検討される必要があります。

　・現状の情報セキュリティ管理に関する状況の把握
　・現状の情報セキュリティ管理の状況から見直すべき点の検討

>目標が達成されたかどうかの判断や、必要があればその結果に関する
>改善をしなければならない。

　現状の情報セキュリティ管理に関する状況を把握し、改善しなければならない点があれば、
　明確にし、次のPlan（計画）につなげていきます。

>●(ISMS)監査およびレビューの結果。
>●利害関係者からのフィードバック。
>●ISMSの実施状況および有効性を改善するために組織において利用可
>　能な技術、製品または手順。
>●予防処置および是正処置の状況。
>●前回のリスクアセスメントで適切に取り扱われなかった脆弱性また
>　は脅威。
>●前回までのマネジメントレビューの結果に対するフォローアップ。
>●ISMSに影響を及ぼす可能性のある変更すべて。
>●改善のための提案。

　マネジメントレビューは定期的に実施されますが、何に基づいて実施されますか？
　ということです。

　こちらも、ISMS認証基準（Ver.2.0）に記載されていますので、理解しておきましょう。

　ISMS認証基準（Ver.2.0）
　http://www.isms.jipdec.jp/v2/v2.html

　セキュアド試験対策としましては、PDCAのCheckとActについての観点から出題された場合、

　「A社は情報セキュリティポリシは策定され運用されているが、しばらく
　　運用していたところ、リスクが顕在化してきた」

　という設問背景が考えられます。

　そのような設問状況であれば、下記のようなことが考えられます。
　マネジメントレビューのインプット項目と照らし合わせて検討してみてください。

　・情報セキュリティ監査の部分での出題が予想される。
　　→実態に合わない情報セキュリティポリシが策定されている可能
　　　性がある。
　　→情報セキュリティポリシの見直しが行われていない可能性があ
　　　る。
　・外部からの不測の事態（脅威、脆弱性）での出題が予想される。
　・事業内容など組織を取り巻く環境の変化での出題が予想される。
　・一連の情報セキュリティ管理に関して経営者が関与しているかどうか。

>●ISMSの有効性の改善。
>●必要に応じて、ISMSに影響を与える可能性のある内部または外部の
>　事象に対応するために加えられる、情報セキュリティを実現する手
>　順の修正。
>　それらの事象には、次の事項に対する変更が含まれる。
>　　・事業上の要求事項。
>　　・セキュリティ要求事項。
>　　・既存の事業上の要求事項を満たす業務手続き。
>　　・規制環境または法的環境。
>　　・リスクの水準およびリスクを受容できる水準。
>●必要となる経営資源。

　情報セキュリティをPDCAサイクルで維持管理していくために必要不可欠な項目です。

>情報セキュリティマネジメントにおいて私は、ＰＬＡＮ（計画）と
>ＤＯ（運用）の事ばかりに注目していたのだなと感じ反省しています。
>セキュリティマネジメントにおける日常の点検や情報収集。また、定
>期的に実施されるセキュリティ監査によりポリシーが実行力のあるも
>のとして機能しているかの把握や新たな要求事項への改善策を導き経
>営陣に報告する事で現実に即した形でブラッシュアップするＣｈｅｃｋ
>（点検）の重要性を知ることができました。

　情報セキュリティは組織一丸となって取り組む必要があります。
　PDCAサイクルで継続的に改善していくという姿勢が非常に重要になってきます。

　Check、Actの重要性を理解して頂けたようですね。これからも情報
　セキュリティをあらゆる角度を切り口に考察してみてください。

　例をいくつか挙げてみましょう。

　・PDCAサイクル
　・情報セキュリティの3要素CIA
　・情報セキュリティのマネジメント（許容・低減・移転・回避）
　・情報セキュリティのコントロール（抑止・予防・検知・回復）
　・人的（管理的）、物理環境的、技術的（論理的）
　・システム管理者、一般ユーザなどのアクセス権限

　など

>企業にとって守らなければいけない情報資産をどう守っていき、ルー
>ルや運用について、経営陣が作成しても運用は社員が行うので、経営
>陣と社員とのギャップが生じると思う。そのために監査は必要だと思
>う。守るためにお互いどうするか、それを見つめなおす大切な時間だ
>と感じます。

　PDCAサイクルで運用し、スパイラルアップで底上げしていきます。
　経営陣、社員、組織一丸となって維持管理して行かなければなりませんね。

>重要な内容に思われますので、仕事が落ち着いたら、じっくりと読みたいと思います。

　はい、重要な内容です。セキュアド試験の午後Iの１設問として取り上げても
　良い内容と私は考えています。
　（あくまでも個人的な考えです。）