ISMS審査結果には、基本的に「重大な不適合」「軽微な不適合」「改善の機会」が存在します。各項目の「不適合」がなくなれば、「適合(認証取得)」となります。
概要は「ISMS審査の基礎知識」にてですが、対応の基本方針は以下です。
- 重大な不適合:再審査が必要(6ヶ月以内に是正して再審査)
- 軽微な不適合:是正処置報告書が必要(タイミングによっては次回の継続審査でも確認される)
- 改善の機会:不適合ではないため、基本的には認証取得可
不適合とされる理由には、「ISMS認証の規格に違反」「計画された社内ルールに違反」の2種類があります。審査員の考え方や、審査のタイミング(第一段階 or 第二段階)によって結果が多少異なる場合がありますが、「厳密には不適合となるライン」を理解しておきましょう。
1. ISMS認証の規格に違反
不適合の根拠
規格書の冒頭本文1にさっそく、「組織がこの規格への適合を宣言する場合には、箇条4〜10に規定するいかなる要求事項の除外も認められない」とあります。要するに、ISMSで求められるPDCAは省略NGです。
そのため、「リスクアセスメントが未実施」「内部監査が未実施」などは、即不適合になります(場合によっては重大な不適合)。
不適合にならない考え方
逆に、「規格の要求事項ではないが、業界では一般的なセキュリティ対応が不十分」は不適合にはなりません(改善の機会として指摘されることは多分にあります)。
例えば、力量(教育)のレベル感は適合性の判断基準にはなりません。そのため、SecureNaviが提供している教材テンプレートをご利用いただくでも、認証取得には問題ありません(もちろん、事業のリスクなどを反映した御社独自の教材を作成いただく方が、質は高くなると思います)
不適合の具体例
規格の要求事項と照らし合わせて、不適合の例をいくつか記載します。
-
情報セキュリティ方針がアクセス可能な場所に配置されていない
- 情報セキリティ方針は、本文5.2.e「文書化」を、本文5.2.f「組織内に伝達」し、かつ本文5.2.g「必要に応じて、利害関係者が入手可能」を満たすことが求められています。
- そのため、まずは社内(適用範囲の人員)がすぐに見れない場合は不適合です。
- 例えばHPに公開されていれば、社内伝達も社外提供も両方満たせるので問題ありません。
- HP公開しない場合は、文書を社内からアクセスできる場所に保存し、かつ社外へいつでも提供(印刷して渡す、メールで送る等々)ができる状態になっていればOKです。
-
資産の洗い出しが不十分
- 資産の管理は、附属書A.8.1.1「…資産および情報処理施設を特定し…資産の目録を、作成し、維持しなければならない」と求められています。
- 附属書Aは採否選択が可能なのですが、不採用の理由は厳密に求められます。機密性・完全性・可用性が損なわれると、明らかに事業に悪影響を及ぼす資産を保持しているにも関わらず「資産目録を作成する必要はないです!!」というのは、基本的には許容されないでしょう。
- また、明らかに使用されている情報資産が洗い出されていない場合は、「資産を特定」できてないので不適合になり得ます(完全に抜け漏れを無くすレベルではないのでご安心ください)
- 例えばHWはサーバ / PC / スマホ等、SWはセキュリティソフト / MicrosoftOffice等の登録を検討してみましょう(本当に使用していない場合は登録不要です)。その他の情報資産の例は、情報資産の概要をご覧ください。
- SecureNaviのISMS構築ガイドや、資産のサンプル提案機能を参考に進めてください。
-
リスク対応の洗い出しが不十分
- 情報セキュリティリスク対応は、規格本文 6.1.3.b「選定した情報セキュリティリスク対応の選択肢の実施に必要な全ての管理策を決定する」、6.1.3.c「決定した管理策を附属書Aに示す管理策と比較し,必要な管理策が見落とされていないことを検証する。」とあります。
- 要するに、規定された管理策(114項目)と比較してリスク対応に不足があってはならないということです。ただし、管理策は理由を添えて除外することもできます。現実的ではないリスク対応を定めてしまうと、それはそれで不適合となるため、業務実態やコストや工数に見合ったリスク対応を選定ください(ここは次章でも説明します)
- 114項目の付け合わせは非常に大変ですが、抜け漏れをなくしセキュリティレベルを向上させる重要な作業です。SecureNaviでは、資産-リスク-リスク対応-管理策の紐付けを可視化しているため、この作業を効率的に実施できます。
- 内部監査員が指定されていない
-
マネジメントレビューを実施していない。または監視測定結果が報告された形跡がない
- マネジメントレビューは、本文9.3.c.2「監視及び測定の結果」等々にて、レビュー対象を多く規定しています。計画、実行、監視、改善の流れをすべてレビューする必要があり、レビュー対象漏れは不適合になります。
- レビュー対象はマネジメントレビューの概要をご参考いただきつつ、SecureNaviではマネジメントレビュー画面の中に、レビュー対象を表示しています。今までPDCAを遂行いただいた内容が自動的に紐づきますので、特に意識せずレビューを進められます。
審査時の注意
ここまでで規格への適合性について説明してきましたが、審査時に審査員から、規格に記載されていない情報の提出を求められる場合があります。
以下はSecureNaviにて網羅できているため、新たな作成は不要です。
- リスク分析表:文書「リスクリスト」が該当
- リスク対応状況がわかるもの:文書「リスクリスト」「適用宣言書」「情報セキュリティマニュアル」が該当
- 内部監査室の対応表:内部監査機能全般が該当
- ISMSマニュアル:SecureNaviUI全般が該当のため提示は不要。考え方は規格6.1.1の説明を参照
合わせて審査前に「適用宣言書」の提出を求められる場合がありますが、完成度は問われません。PDFにて提出するか、SecureNaviに審査員をアカウント招待して閲覧してもらいましょう。
一方、適用範囲(審査範囲)の妥当性を検討するために、組織図などの提出を求められます。ISMS認証取得としてはマストではありませんが、審査計画の立案に必要ですので、求められた場合は目的や提出様式を審査機関とご確認ください(あまり作り込まず、ありものでカバーできる場合が多いです)。
- 組織や業務の適用範囲:
- 組織体制図(部署、所属人員、委託先人員、審査対象人員etc)
- 拠点や業務の適用範囲:
- ネットワーク図(オフィスPC、顧客、クラウド、取引先、外部サービスとの接続関係etc)
- フロアレイアウト図(オフィスの物理的な配置、区分けごとのセキュリティレベルetc)
また、利用者様独自のリスク対応ルールで「XX文書を作成する」と定義している場合は、SecureNavi以外の文書作成と提示が必要になりますのでご留意ください。この考え方は次章で説明します。
2. 計画された社内ルールに違反
不適合の根拠
前述の「リスク対応の洗い出しが不十分」の続きです。洗い出し(計画)はできていても、対応がされていない場合も不適合になります。端的に規格としては、本文8.3「情報セキュリティ対応計画を実施しなければならない」と規定しています。
例えば、附属書A.18.2.3 技術的順守のレビューにて「年1回、第三者のぜい弱性診断を受審する」と対応策を計画した場合、実施タイミングが2年に1回だった、もしくは第三者ではなく社内の診断ツールで完了していたなどは、厳密に規格と照らし合わせると不適合になり得ます。
また、対応策で「XXの文書を作成し」と定めた場合は、その文書の提示を求められる場合もあります。こちらも、文書を提示できなければ不適合となり得ます。
不適合にならない考え方
実施できない管理策は除外(採用しない)でOKです。例えば以下があります。
- 6.2.2 テレワーキング:オフィス出社マストの場合は除外OK
- 8.3.1 取外し可能な媒体の管理:USB、HDDなどを使用していない場合は除外OK
- 9.4.4 特権的なユーティリティプログラムの使用:インストール型SWがない場合は除外OK
- 14.2 開発及びサポートプロセスにおけるセキュリティ:自社開発がない場合は除外OK(ただし、外部システム利用時に該当する項目はあるので要注意)
不適合の具体例
いずれも「計画」していること前提で、発生しうる不適合の例は以下になります(計画の仕方にもよるので、あくまで例としてご参考ください。迷いやすい考え方については、いくつかマニュアルにも記載しています)
- A社のウィルスセキュリティソフトを導入することを定めているが、他社製品を導入していた
- パスワードポリシーに8桁以上と定めているが、則って設定していなかった
- 懲戒手続きにて、就業規則と情報セキュリティ規定を作成すると定めているが、就業規則のみで構成されていた
- 従業者に対して年1回の情報セキュリティ教育を定めているが、今年度分の実施記録がなかった
- アクセス権管理にて、月に1回Saasアカウントの棚卸を定めているが、該当月の実施記録がなかった
- 情報セキュリティ継続にて、年1回のテスト計画書(手順)を定めているが、手順通りに実施していなかった
- 委託先監査にて、年1回自社作成のチェックリスト送付すると定めているが、今年度分の実施記録がなかった
その他、「XXの手順書を作成する」「XXの物理的対策を施す」という対策になりやすい管理策をFAQ「定めたルールは審査時にどの程度の粒度で確認される?」にまとめています。審査員から手順書や対策の提示を求められる場合がありますのでご参考ください
審査時の注意
とはいえ、本章の適合性判断は、審査員ごとに分かれ易いです。審査はPDCAを回していくことも重要なので、改善の可能性があれば不適合とならないケースも実態としてはあります。まずは第一段階審査まで実施し、相談しつつ進めていくのがよいでしょう。
3.その他補足
審査には協力しましょう
ここまで、規格や計画観点で不適合の考え方を記載しましたが、そもそも審査に非協力的な態度をとって審査が進まない場合、審査機関は審査を打ち切ることができます。
もちろん回答に詰まってしまう場合や、回答者を変えて進行したい場合など、審査がスムーズに進まないこともありますが、この場合は状況を説明して、どうすれば審査が進むのかを明らかにすれば問題はありません。
口頭での指摘
不適合ではないが、審査員から口頭での指摘をもらう場合があります。どの程度対応する必要があるか迷われると思いますが、言葉を選ばずにいうと、内容によってはISMS認証取得の観点では対応する必要がありません(口頭での指摘は不適合ではない為)
もちろん指摘の改善はセキュリティレベルにつながることが多いので、その観点では対応をお勧めしますが、審査員ごとのノウハウによる側面もあるため、審査員ごとに(継続審査ごとに)違う意見をもらう場合もあります。そのため、自社で対応する必要性、実現性などを鑑み、取捨選択ください。
また、指摘の内容によってはSecureNaviの中で既に網羅出来ている事がありますので、「前回の指摘に関しては、ここの記述で網羅出来ています」と伝えても良いでしょう。