★本気で社内改革を希望されている経営者の皆様へ★
さいたま総研では、本気の改革をISOやPマークでお手伝いします。
【セキュリティマネジメント構築編】

１．リスク分析後の対応策・管理策の検討
①業務で取扱う個人情報や資産の洗い出し
②リスク分析
と実施してきますと、次は、リスク分析の結果を踏まえて
対応策・管理策の検討を行います。
ここで肝心なことは、自社でどこまでのセキュリティ対策が必要であるかを見定めることです。

（１）対応策の基本
まずは、日常どのような対応策が実施されているか、現実を評価しましょう。
何も対策が取られていない場面、何らかの自主対策がとられている場面を整理します。

（２）追加の対策
リスクを軽減させるために、追加の対策がどこまで必要かを検討します。
その際のポイントは、
①顧客の要求水準
②業界の一般水準
③自社の方針
に沿って、費用対効果を勘案して追加の対応策を決定します。
セキュリティ対策は、代表者をはじめとした組織のトップマネジメントの意識が重要です。
トップの認識の高さが組織全体のセキュリティ水準を決めるといっていいでしょう。

（３）実践できる対策を！
ここで大切なことは、実践可能な対策を定めることです。
業務の請負金額や取扱い資産の状況を考慮して、
バランスのとれた対応策をとることが重要です。
ＩＳＭＳの場合は、原則として附属書Ａの管理策から選定することになります。
管理策をどう実施するかを具体的に検討することが実践的対策のためのポイントです。

２．対応策・管理策の有効性
ＩＳＭＳでは、明確に管理策の有効性を評価することが求められています。
Ｐマークには規格要求事項にはありませんが、有効な対策がとられているかは、
常に点検する必要があるでしょう。

（１）対応策・管理策の妥当性
まずは、対応策・管理策が実行可能性があるのかどうかを確認しましょう。
記録様式の欄が小さくて記載できない、見えない、面倒である･･･
ルールが細かすぎて実行できない、特別なケースにしか該当しない･･･
などルールそのものに実効性が低い場合は、ルールの見直しを行います。
これらは、たとえば、３か月に１度、記録の記載漏れを確認したり、
実施現場の目視点検などによって実施できるルールであることを確認します。

（２）対応策・管理策の実施状況
次の点検は、実施可能なはずのルールがどの程度定着しているかを確認することです。
この場合も、たとえば、３か月に１度、記録の記載漏れを確認するなどの
運用点検が大切です。

（３）対応策・管理策の改善
対応策・管理策の実施が十分できていない場合、ルールそのものに原因があるのか、
ルールの運用が定着していないのか、原因を十分確認します。
そのうえで、対応策・管理策の改善を行います。
ＩＳＭＳにおける管理策の有効性評価としては、
これらの点検によって、ルールの順守度合い（%）や逸脱件数などの有効性指標を定め、
数値化します。目標数値と実測値の差異をもって有効性を判断します。

次回は、ヒヤリハットとセキュリティとの関係についてご紹介しましょう。

さいたま総研　IT/ISO事業部　西宮恵子