【1031】ISMSも、つまるところPDCAという仕組み
日々の学びや気づきを言語化し、行動を変え、未来を変える一助に。
水曜日です。3月も初旬が終わろうとしています。
前回に続き、以下のテキストから(^_^)
医療経営士テキスト「医療情報セキュリティマネジメントシステム(ISMS)」
(読書通算967日目)
第2章、「ISMS規格の概要 ISO/IEC27001とその周辺」
この章は、結構なボリュームの内容でした。
法人や各部署で取り扱っている情報を項目としてリストアップすること。
それらの項目に対して、リスクがどの程度あるのか、どのようなリスクがあるのか、
どのような対策を取るのか、というプランニングをすること。
また、スケジュール、基本方針、規定を作成すること。
など、書かれています。
また、情報とは資産である、ということを改めて認識しました。
資産をどのように扱うのか、複数ある項目のうち、
実は無くなって大丈夫なものはないか、
逆に失われると大きな問題が起きるものは何か、
問題が大きくなった時にどう対処するのか。
情報システムと聞くと小難しいような気がしますが、
普段の仕事や生活と一緒で、働く上または生きる上でも、
大きな影響を与えるものがあれば、その項目、資産は大事に扱うと思います。
それらに問題がないように事前に検討して起きましょう、
という点では、すべてに共通するものがありますね。
では、中身に入りたいと思います。
【項目と導入のポイント】
確立
導入運用
監査及びレビュー
維持改善
があります。
言い換えると、PDCAですね。
詳細は割愛しますが、各項目について、感じたことを書いていきます。
【確立】
確立までのスケジュールは一年ぐらいを目安にする、ということですね。
というのも、情報系は特に陳腐化のリスクもありますし、
あまり長くなると、参加者のモチベーションも下がります。
また、体制を考えていく中で、大事なのは、
基本方針を策定する、検討する委員会の設定、どの範囲(部門)までを適用とするのか、
などですね。
情報資産を特定し、リスク評価手法を決定する。
その情報資産も5つ分けられています。
【情報資産】
情報資産
ソフトウェア資産
物理的資産
サービス資産
無形資産
ですね。さらに突っ込むと、
業務の個人情報
他社の機密情報
人事給与
経営関連
業務管理
技術情報
院内管理情報
議事録
公開情報
サービス
など、いろいろあります。
これらの情報資産についてリスクアセスメント、リスク対応、リスクの段階で考える、
ということですよね。
例えば、脆弱性、リスク分析、その情報はどこにあるのか(場所)、
責任者は誰なのか、など特定し、脆弱性を確認し、安全対策をしていく。
この作業を通して、現場部門には、部内の脆弱性を自覚する機会になります。
とは言え、これらを一つ一つ確認することは大変ですから、
各現場から反発が起きることもありますよね。その中でどのように進めていくのか、
ということも課題です。(機能評価など、他のことでも、「あるある」の課題ですね)
昨日の記事でも取り上げましたが、
機密性は大丈夫か、安全性はどうか、可用性の程度はどうか、といったことがチェックポイントです。
(可用性とは、どの程度のシステム停止が許されるのか、ということであり、
例えば、電子カルテ。1時間止まるだけでも厳しいですよね、といったのが可用性の観点です)
また、リスクについては、人間に起因するのか、環境に起因するのか、という視点でも見ます。
誤り及び手抜かり、ファイルの削除、地震・雷・火事などですね。
いろいろな情報資産や、そのリスク等を項目化して、適用宣言書を作成する、
マニュアルを作成する、文書管理規定を策定する、標準化をする、
関連して、個人情報保護の内部規定を作成する、ということも書かれていました。
【導入と運用】
さて、ルール化しました・・・。以上!
では、意味がありません。
せっかく作っても、職員、組織内に伝わらなければ意味がありませんから、
次のステップは、セキュリティや個人情報の教育です。
作った仕組みを実際に運用して、記録していく、効果の測定などに取り組む必要がありますね。
計画やマニュアルを立てたのに、やりっ放しのことも多いのではないでしょうか。
テキストには、フローチャートなど、いろいろ載っていましたので、
実際に取り組むとなったときには、参考になるでしょう。
【監査及びレビュー】
運用が始まれば、プロセスを開始し、セキュリティ事件を検出し対処する、とのことです。
この活動をしたかどうか、という、確実に記録に残す仕掛けを作ることが重要である。
繰り返しますが、作るだけ作って、その後、何もしていませんでした、なんてことは、
ありがちですよね。
マニュアルだけあって行われてないということが往々にしてありますから、
監査責任者、監査チームなどを作って取り組んでいく。
その中で、監査チームもレベルが上がってくるので、繰り返していくことが大事、ですね。
そして、内部監査員に求められる「特質」が印象的でした。
倫理的
広い心
外交的
観察力
鋭い知覚
適用性
粘り強い
決断力
自立的
これできたら、何でもできるじゃん!という感じですね。
こんな人、なかなかいないです。
とはいえ、このような素養を兼ね備えていなければ、内部監査という役割は果たせない、
ということでしょう。
そして、経営層の「マネジメントレビュー」(確認)も必要である、ということで、
上層部から各部門までしっかり関わっていきましょう、ということですね。
【維持改善】
改善(Act)していく段階、是正処置と予防処置、ということが書かれています。
ISMSの導入により、組織はOECD9原則に適合し、
情報セキュリティを適切にマネジメントする体制を実現できるようになる、
と締められています。
では、また明日(^_^)v
◇過去の内容、記事はこちらから是非(^-^)
◇メルマガ登録はこちらから(^-^)
https://www.mag2.com/m/0001682907.html
◇以下は、中小企業診断士試験の受験(不合格体験)を通しての学びを電子書籍にしたものです。
リベンジ予定ですが、しばらく別の活動中。その他の書籍も是非ご覧下さい。
Kindle Unlimitedで読めます(^-^)