ISMSにおける「目標」の決め方と具体例についてご紹介します。この記事では、以下のトピックについて説明しています。
関連記事:
目標の決め方
目標は、情報セキュリティやISMSに関することであれば、かなり自由度高く決定することできます。目標が決まらずに迷っている場合は、以下のような内容を検討してみてください。
あなたの部門で、最近起こった情報セキュリティインシデントはなんですか?
例えばメールの誤送信があり、今後はそのようなインシデントを減らしたい場合、「メールの誤送信を0件にする」「メールの誤送信件数を昨年の半分にする」などの目標が考えられます。
他にも、運用しているサーバの停止があった場合は、「サーバの稼働率99.9%以上を維持する」「年間のダウンタイムを6時間以内に抑える」などの目標が考えられます。
情報セキュリティを維持するということは、機密性(漏えい)だけではなく、完全性(改ざんなど)や可用性(紛失、アクセス不可など)も考慮に入れる必要があります。そのため、稼働率やダウンタイムなどを目標としても、もちろん問題ありません。
本来守るべきだけど、あまり守られていない(なあなあになっている)セキュリティへの取り組みはなんですか?
例えば、本来は帰宅時にノートPCは施錠すべきだけど実際はできていない人が多いという場合、「帰宅時のノートPCの施錠を徹底する」などの目標が考えられます。
他にも、ITシステムの変更やリリース作業は本来2人体制でやるべきだけど、実際はできていないという場合、「変更やリリース作業は2人以上で行うことを徹底する」などの目標が考えられます。
このような目標の場合、一見「測定可能」ではないように見えますが、例えば毎月の情報セキュリティ委員会で、担当者に「目標をどの程度守れましたか?」といった内容をヒヤリングを行います。その結果に対して、この1ヶ月は完璧にできていた場合は100%、ちょっと微妙だった場合は50%、全然守られていなかった場合は0% などと定義してしまうことで測定可能にできます。
目標が決まらないときは...?
どうしても目標を決めきれない場合は、以下のような目標を設定することがあります。
- 内部監査・外部審査での不適合を0件(もしくはX件以下)にする
- 情報セキュリティインシデントの件数を0件(もしくはX件以下)にする
監査や審査については、新規取得のタイミングではイメージがつかみにくいかもしれません。しかし、インシデントの件数であれば、だれでもイメージしやすいため、目標としてはおすすめです。
ただし、インシデント件数を目標にした場合、「件数」という結果のみがフォーカスされてしまい、それに取り組む過程が全く評価されない目標になってしまいます。だからといって不適切な目標というわけではありませんが、各部門の担当者が、目標達成に向けてやるべきことを理解し、自走できるようにサポートすることも重要になってきます。
目標の具体例
以下に、目標の具体例を掲載します。
部門 | 目標の例 |
開発部 |
|
人事部 |
|
経理部 |
|
営業部 |
|
汎用 |
|