7月になって少し経ちますが、雨が降ったりしており結構涼しい日が多いですね。
個人的には暑いのが非常に苦手なので助かっています。
このまま涼しい状態が続けばいいですが、きっとそのうち暑くなるんだろうなと・・・
今回はISMS審査時に必要な資料の一つである力量について記事にしていきます。
内容についてはあくまで私が関わっている組織に合わせた内容になっていますので、自社で適応する際はご注意ください。
7.2力量について
まずは「情報セキュリティマネジメントシステム−要求事項」の「7.2力量」について、どういった内容が記載されているかを見てみましょう。
組織は、次の事項を行わなければならない。
a)組織の情報セキュリティパフォーマンスに影響を与える業務をその管理下で行う人(又は人々)に必要な力量を決定する。
b)適切な教育、訓練又は経験に基づいて、それらの人々が力量を備えていることを確実にする。
c)該当する場合には、必ず、必要な力量を身につけるための処置をとり、とった処置の有効性を評価する。
d)力量の証拠として、適切な文書化した情報を保持する。
注記 適用される処置には、例えば、現在雇用している人々に対する、教育訓練の提供、指導の実施、配置転換の実施などがあり、また、力量を備えた人々の雇用、そうした人々との契約締結などもある。
となっています。
d)に文書化した情報を保持すると明記されているので、審査時に資料がないと認定を受けれない可能性があります。(試していないので、本当にダメかはわかりません。)
私がこれを見たときに、なんてフワッとしているんだろうと思いました。
また維持するために教育を施していく必要もありますが、具体的にどのような教育をしていくかもわかりません。
これについては自社で適当な資料を作ってやりました!と言うこともできるのではと考え、それでは意味がないので、ちゃんと適切にできる方法を考えました。
もちろん自分自身への負担にもならない方法です。
7.2力量への対応策
キーとしては、毎年教育を行っていることを証明する必要があります。
個人的には以下で力量の証明が可能だと考えています。
・ISACA又は(ISC)^2の資格の取得と維持
ISACAの「CISA」や(ISC)^2の「CISSP」は試験を受けて認定を貰ったらずっと維持できる資格ではありません。
毎年、決められたCPEを稼ぐ必要があります。(決められたポイントを稼がないと資格は剥奪されることになっています)
CPEはカンファレンスや研究会、論文を書く等で数ポイント稼ぐことができます。(年間40ポイント位稼ぐ必要あり。)
よって、この資格を毎年維持することが力量の証明になると考えています。
※恐らく、年次の教育があるIPAの「情報処理安全確保支援士も同じ要領で行けると思います。
実際に審査時に審査員の方に聞いてみたところ、良い方法ですねとのコメントをいただいています。
これであれば個別に自社でセキュリティの研修をやる必要はありません。
ただし、資格の一覧を作成する必要はありますので、社員全員のスキルマップを作成する必要はあります。(しかしこれはエクセルで簡単に作成できるかと)
なお、この方法については資格持ちという前提があるので大きな会社になればなるほど難しいかもしれませんが、スタートアップでエンジニアの集まり等であれば比較的容易に達成可能かと考えています。(セキュリティ側の人間であること前提ですが・・・)
ご参考になれば幸いです。
参考までに4月から取得を目指していたISMSですが、今月(7月)に第二審査があり、今のところ問題なく行けそうです。
来月に認定される予定なので、通常より大分期間は少なめで取得はできるかなと考えています。
※インターネットで調べると取得まで1年以上かかるのが一般的らしい
不明点や要望、こういったこともやって欲しいとの希望があれば、お問い合わせページやコメント、ツイッターからでも結構ですので、気軽にご連絡ください。
ISMSの取得を考えている方へ、以下の本は買っておいて損はないのでオススメです!
コメント