ISMSの大変なところのひとつに管理策の選択(採用)があります。
今まで何の疑問もなく、よほどの理由がなければ採用が必須と考えていました。
実際に適用除外はわずかで、取得企業平均で125個の管理策が採用されています。
改めて規格を読んでみましたが、ほとんど必須とのニュアンスの部分
?4.2.1j)3)附属書Aに規定された・・・それらを適用除外とすることが正当である理由
?附属書A・・この表の中の管理策は、本体の4.2.1に規定する・・・選択しなければならない。
がある一方、あくまでも自由裁量であるニュアンスの部分
?4.2.1 e)4)・・受容できるか、または対応が必要であるかを判断する。
→(対応が必要と組織が判断した場合)
4.2.1 g)リスク対応のための、管理目的及び管理策を(附属書Aから)選択する。
があります。
受講したISMS審査員研修(40時間)でも基本的には除外不可と教えていました。
700名の研修生を送り出しており、講師の先生方も相当の自信を持っておられたので、
何の疑問もなく信じておりましたが、今改めて考え直しています。
JISQ27001はISOとしての体裁を整えた4章〜8章と、BS7799をそのまま持ってきたAnnex.A
とからなっています。
JIS規格書の文言だけを追っていても真意はわからず、BS7799の精神を尊重するならば、
基本的に適用除外不可が正しいような気がします。
皆さんの意見を聞かせて下さい。
今まで何の疑問もなく、よほどの理由がなければ採用が必須と考えていました。
実際に適用除外はわずかで、取得企業平均で125個の管理策が採用されています。
改めて規格を読んでみましたが、ほとんど必須とのニュアンスの部分
?4.2.1j)3)附属書Aに規定された・・・それらを適用除外とすることが正当である理由
?附属書A・・この表の中の管理策は、本体の4.2.1に規定する・・・選択しなければならない。
がある一方、あくまでも自由裁量であるニュアンスの部分
?4.2.1 e)4)・・受容できるか、または対応が必要であるかを判断する。
→(対応が必要と組織が判断した場合)
4.2.1 g)リスク対応のための、管理目的及び管理策を(附属書Aから)選択する。
があります。
受講したISMS審査員研修(40時間)でも基本的には除外不可と教えていました。
700名の研修生を送り出しており、講師の先生方も相当の自信を持っておられたので、
何の疑問もなく信じておりましたが、今改めて考え直しています。
JISQ27001はISOとしての体裁を整えた4章〜8章と、BS7799をそのまま持ってきたAnnex.A
とからなっています。
JIS規格書の文言だけを追っていても真意はわからず、BS7799の精神を尊重するならば、
基本的に適用除外不可が正しいような気がします。
皆さんの意見を聞かせて下さい。
|
|
|
|
コメント(4)
初めまして。
同規格を認証としてつかう前提とした場合の個人的な意見ですが、
JISQ27001
・4.2.1 g) 注記 「様々な組織が共通に関連する〜」
・附属書A 冒頭の「この表は,〜(中略)〜考えてよい。」
などから、133管理策は殆ど適用、あるいはむしろ少ないくらいで管理策を追加するくらいが必要ということが本来の趣旨と認識しています。
ただ、実際はパッケージ以外のシステム導入(開発)やネットワークを全く利用していない組織もあるでしょうから、適用除外とするこ管理策もあるでしょう。
そういった場合、最低限の管理策の選択は、
JISQ27002 「0.2.6 情報セキュリティの出発点」
・法的な観点から組織にとって不可欠であると考えられる管理策
・情報セキュリティに対して一般的に最適な慣行と考えられる管理策
が参考になると思います。
同規格を認証としてつかう前提とした場合の個人的な意見ですが、
JISQ27001
・4.2.1 g) 注記 「様々な組織が共通に関連する〜」
・附属書A 冒頭の「この表は,〜(中略)〜考えてよい。」
などから、133管理策は殆ど適用、あるいはむしろ少ないくらいで管理策を追加するくらいが必要ということが本来の趣旨と認識しています。
ただ、実際はパッケージ以外のシステム導入(開発)やネットワークを全く利用していない組織もあるでしょうから、適用除外とするこ管理策もあるでしょう。
そういった場合、最低限の管理策の選択は、
JISQ27002 「0.2.6 情報セキュリティの出発点」
・法的な観点から組織にとって不可欠であると考えられる管理策
・情報セキュリティに対して一般的に最適な慣行と考えられる管理策
が参考になると思います。
ぴろりお さん
コメントありがとうございます。
管理策はできるだけ採用するようにします。
元々言葉も風習も異なる人々が共通の目的を持つためには、約束事が必要なのでしょう。
BS7799も本当に組織を良くするツールとして発達してきたようです。
ただJIS化された時点で、(商売道具としての)認証取得が目的になっているのも事実で、ならば
JISの言葉尻を捉えて徹底的にスリムにしてしまえというのも一理あると思います。
JIS規格というのは、阿吽の呼吸で生きてきた日本人には馴染みにくいですね。
顧客重視とかCSRとか言っていますが(これも規格らしい)、何百年も前から『売り手良し、買い手良し、世間良し』の三方良しとして近江商人の経営理念となっています。
何でいまさらJISなの? とついつい考えてしまいます。
コメントありがとうございます。
管理策はできるだけ採用するようにします。
元々言葉も風習も異なる人々が共通の目的を持つためには、約束事が必要なのでしょう。
BS7799も本当に組織を良くするツールとして発達してきたようです。
ただJIS化された時点で、(商売道具としての)認証取得が目的になっているのも事実で、ならば
JISの言葉尻を捉えて徹底的にスリムにしてしまえというのも一理あると思います。
JIS規格というのは、阿吽の呼吸で生きてきた日本人には馴染みにくいですね。
顧客重視とかCSRとか言っていますが(これも規格らしい)、何百年も前から『売り手良し、買い手良し、世間良し』の三方良しとして近江商人の経営理念となっています。
何でいまさらJISなの? とついつい考えてしまいます。
- mixiユーザー
- ログインしてコメントしよう!
|
|
|
|
ISO/IEC 27000 / ISMS / BS7799 更新情報
-
最新のイベント
-
最新のアンケート
ISO/IEC 27000 / ISMS / BS7799のメンバーはこんなコミュニティにも参加しています
人気コミュニティランキング
- 1位
- ハレプロ セッション♪
- 453人
- 2位
- mixi バスケ部
- 37784人
- 3位
- 【ハレプロJ】セッション
- 269人