セキュリティ管理策の適合性と有効性
2011/03/31情報セキュリティマネジメントシステムを運用されている組織にとって、133の詳細管理策の監視及び測定には頭を悩まされるところです。
一般的には、管理策の適合性は内部監査で監視されています。つまり実施しているか否かを監査して、出来ていなければ是正処置を取る仕組みなのです。
それに対して管理策の有効性についてはどうでしょう?管理策の有効性測定のプロセスで行います。ここのプロセスが旨く機能していないことが多く、管理策の適合性と同じ監視の仕方に留まっている事例を多く見受けます。ポイントは適合性でなく有効性を評価する点と、監視するのではなく測定するのです。つまりどの程度実施できているのか?また、取られた管理策が有効であるか?を重視して下さい。その結果はマネジメントレビューにインプットされ評価されます。
セキュリティ管理策はなかなか完璧に実施することは困難です。ですから内部監査において適合性を監視します。また、リスクアセスメントの結果として管理策を適用してもリスクはゼロにはなりません。だから管理策の有効性を測定する必要があるのです。この辺りを正しく理解して取り組まれると監視と測定の効果があらわれてくるでしょう!