体制構築とPDCA
情報セキュリティマネジメントの体制を構築するためには、相応の作業が必要になります。
特に初めて本格的な体制を構築するためには、一つのプロジェクトとして推進するために専門の部門を用意する必要があるでしょう。
これには、企業、組織の内部のリソースを充てる場合には情報セキュリティ担当、あるいは内部統制担当を用意しておくことになります。
一時的に、外部のリソースを充てなければならないこともあるかもしれません。
一旦体制を構築したとしても新たな業務の発生、システムの導入あるいは脅威の顕在化、情報資産の見直しやリスク分析の再検討によって新たな管理策の適用が必要になることも想定されます。
このため、定期的に体制を見直し、改善していくためのPDCAのプロセスが重要になってきます。
PDCAのプロセスを回して、体制の改善を繰り返すためには、
- 想定したリスクに対して実際の運用中に発生したインシデントが許容範囲に収まっているか
- 管理策に対応した実施手順が守られているか
といったことを監視・測定、記録し分析・評価を行なう必要があります。
実施手順の中には可能な限り測定、記録の手順を盛り込み、チェックの段階で事実に基づいた改善の検討が必要なのです。
初期段階での体制の構築にはかなりの負担がかかりますが、一旦体制が構築され、PDCAが回り始めると対応基準や実施手順の見直し、改善が行なわれ、マネジメントを維持するための稼働の軽減にも繋がっていきります。
改善に向けてのフレームワーク
情報セキュリティの体制構築維持には業務プロセスの棚卸しがポイントになります
ですが、これは実質的にはいわゆる業務プロセスや対応するITシステムの刷新を行なうためのフレームワークであるEAを検討することと重なります。
EAは現状の業務プロセスと対応するITシステムを「As Is (現状通り)」として棚卸しし、改善のための「To Be (あるべき姿)」を策定していく方法として、この中に情報セキュリティへの対応を盛り込んでいけばよいと考えられます。
EAではビジネスアーキテクチャの棚卸しから始め、そこから導き出される情報アーキテクチャ、これを具体化する情報システムアーキテクチャ、そこから特定されるデータアーキテクチャ、さらにこれを実装する基盤システムアーキテクチャの順に棚卸しが行なわれます。
これらそれぞれの段階で必要となる情報セキュリティの課題と対策を抽出、実現に結び付けていくプロセスを環境の変化に対応して実施していくことになります。
さらに、運用プロセスの改善にはいわゆるITILといわれるフレームワークが適用できます。
ITILはITを活用した業務、あるいはITによって提供される機能をITサービスとして捉え、これを継続的に改善するための方法論のことです。
これも情報セキュリティに対するPDCAを回すプロセスに対応して適用が可能と考えられます。
他にも情報セキュリティの体制構築運用に参考になるスタンダード、フレームワークもさまざまなものが提案されています。
それぞれに一長一短はありますが、自らの体制と運用プロセスの見直しの参考に有効に活用していきましょう。
関連記事