★ 本記事のテーマ
監査員教育と監査実施経験から
ISOマネジメントシステム7
で十分です。
あった方がよい程度
「意外だ」
と思うでしょう。
必要な力量を
わかりやすく解説します。
- ①必要な力量
- ②情報セキュリティの専門性より抽象力が大事
- ③情報セキュリティチェックは組織全員で守り抜けることを見るべき
- ④ISMS ISO27001 内部監査員になるために必要な参考書
①必要な力量
監査員に求められる力量の通例
実際に、ISMS監査員やISO27001審査官は
ソフトウェア開発を長年やってきたプロが転身する
ケースがほとんどです。
なので、
情報セキュリティの専門性が高い方がよいと思われがちですが、
監査員に必要な力量はそうでもないです。
大事なのは
情報セキュリティが組織で本当に機能しているかが大事。
なので、マネジメントシステムの方に重みがある。
QCプラネッツの経験では、下図のように、
ISOマネジメントシステム7
で十分です。
②情報セキュリティの専門性より抽象力が大事
当然、情報セキュリティの基礎は必須
ここで注意なのは、
最低限の知識や理解は必要です。
ISOだけやっていればいいわけではありません。
情報セキュリティの勉強が必要です。
言いたいのは、
ISMS,ISO27001に携われないと
自らハードルを上げる必要は無い!
と言うことです。
QCプラネッツの経験上、
ハードウェア寄りの思考である人と
ソフトウェア寄りの思考である人が
います。
前者が不利なように見えますが、
ソフトウェア思考に翻弄される必要はありません。
【チェックください!】知っておくべき情報セキュリティのレベル
では、ISMS,ISO27001監査に求められる
情報セキュリティの専門性の高さをチェックします。
どれくらいわかるか?確認しましょう!
数問程度ですが、サンプルチェックとします。
★情報セキュリティの専門性チェック
- 「CIA」とは?
- 「http」と「https」の違いは?
- 「マルウェア攻撃」とは?
- 「ゼロディ攻撃」とは? 防御方法は?
- 「VPN」とは?あった方がよい理由とは?
- 「ウェブフィルタリング」とは?あった方がよい理由とは?
- などなど
いかがでしょうか?
難しいでしょうか?
正直
そうです!その通りです!
その周辺が理解できればOK!
後で紹介しますが、
対策の教科書1冊を手元にあればよい。
で構いません。
ISMS,ISO27001に携われないと
自らハードルを上げる必要は無い!
情報セキュリティの専門性は低くてよいようなイメージを与えるかもしれませんが、次の点はしっかりと作りこむ必要があります。
【重要】用語よりその意味を理解する
一言でいえば、
情報セキュリティの求められている「目的」をしっかりとらえろ!
が大事です。
それに対する対処方法
についての用語がたくさんあります。
でも、
と考え、
「統体」していく思考を持ってください。
リスクアセスメントを総合的にみてもよいですが、下図のようにシンプルに集約できます。シンプルになるように統体して考え抜きました。
そして、
例えば、
監査員としてどう答えるべきか?
★ ×な回答
VPNとはVirtual Private Networkの事です。
(相手は混乱するし、だから何なの?です。)
★○な解答
インターネットに入ると外の不審者が侵入してくるリスクがあります。なので、自分たちだけの空間の中だけネットできるようにして、外部侵入を防ぐものです。
(わかりやすいし、相手がどう防御すべきかも理解できる。)
丸暗記ではなく、目的を理解し、
自分なりに層別することが大事です。
これができれば、専門用語はそれほど怖くありません。
【一番重要】組織全体がセキュリティ対応できる仕組・運用ができているかの方がよっぽど大事
あなたの情報セキュリティの専門性より、
相手の組織が情報セキュリティ向上につながることの方が
もっと大事!
ですよね!
たくさん人がいる組織全体である一定以上の
セキュリティを担保させなければいけません。
となると、
求められる情報セキュリティ活動ができているか?
一番脆く、ショボい所が狙われるリスクを
見つけて、処置して、回避できるか?
をしっかり見る力量の方が大事です。
QCプラネッツは
両方見ておいてほしい
と願っています。
マネジメントシステムの基礎であり、理解しやすいISO9001を軸に、
情報セキュリティ寄りなISO27001へ広げていく視野が
組織とって良い監査質疑・評価ができるようになると分かっています。
①でも述べた通りですが、具体的に抽象化する方法を解説します。
【重要】情報セキュリティとは詰まる所、それは何か?
という問いを自問しましょう。これが一番大事!
QCプラネッツは
防犯体制が万全な豪邸で
●どう守るのか?
●逆に、どうやって侵入するか?
を考えていけば、
自ずと手段がわかってくる。
情報セキュリティも防犯も全く考え方は同じ。
●防犯体制が万全な豪邸で、外部侵入が難しいことが容易に想像つきます。だから内部を狙う(内部不正・情報漏洩)
●強い相手を倒すことより、弱くてトロイ者が狙われる。(正面突破より脆さ・騙しで侵入)
シンプルにこれくらいしかありません。
カタカナ用語で、難しいサイバー攻撃と言われると何か怖いイメージがありますが、よく考えるとやること、守ることはそれほどありません。
監査質疑ができるために抽象力は必須
監査で一番神経を使うのが、
です。
専門性を確認しても意味がないし、
組織の情報セキュリティ強化につながる問いでなければ意味がない。
なので、専門知識を自分の言葉で説明ができ、相手にどう動いてもらうかを伝えるところまで、考え抜く必要があります。
③情報セキュリティを組織全員で守り抜くことが一番大変
情報セキュリティに対する組織という相手を知りましょう。
2,6,2の法則
情報セキュリティに限らず、「2,6,2の法則」は一般に成り立ちます。
●6 面倒くさい、興味がないと無風の人
●2 トロく、何かしでかすかもしれない人
監査質疑対応する側は、
です。
大事なのは、
下の2の人や無風の6の人が情報セキュリティのカモにされやすい!
このあたりを守り切れるか。
です。
組織の情報セキュリティは
どこか1か所でも突かれるとインシデントになってしまいます。
それを気づかせる監査質疑が必要。
やる気がない人や、トロイ部分をどうやって
良くしていけばいいのでしょうか?
監査ポイント
組織全員へ浸透させ、行動に移せているかを監査でみましょう。
●どんな汗をかいているのか?
●組織が動機づけするための苦労があるかどうか?
●組織メンバーが自分事としているのか?
●要求事項の番号にあてはめより、組織が本当に機能しているかをチェックしたい。
そのためには、
相手の組織に近い組織を想定して
情報セキュリティでどんな活動や課題があるかを
想定して監査でみていくこと
情報セキュリティの専門用語や要求事項はその後でもよい。
となるはずです。
④ISMS ISO27001 内部監査員になるために必要な参考書
ここまで読んでいただければ、わかると思います。
- 情報セキュリティマネジメント試験対策用の教科書1冊
- ISO9001 の本1冊
- ISO27001 の本1冊
でOKです。
余力があれば、
IPA(情報処理推進機構)の情報セキュリティ10大脅威20XX年
の事例をチェックし、なぜ発生したかを考える演習をしてください。
最初は、知識や情報を暗記で安心しますが、
監査はその情報から課題抽出・解決を導く思考力が
求められます。
専門用語の正確さも大事ですが、
目的達成に必要な提案力・思考へシフトしていけば、
立派な監査質疑ができるようになります。
頑張りましょう
まとめ
以上、「ISMS,ISO27001 内部監査員に必要な力量がわかる」を解説しました。
- ①必要な力量
- ②情報セキュリティの専門性より抽象力が大事
- ③情報セキュリティチェックは組織全員で守り抜けることを見るべき
- ④ISMS ISO27001 内部監査員になるために必要な参考書