私はよくISO 27001に関する噂を耳にするのですが、それを笑うべきか泣くべきかよくわかりません。 実際、人間はよく知らない事についてはおかしな判断をしがちです。以下はもっともありがちな誤解の例です。
「標準は…を求めている」
「標準はパスワードを3ヶ月ごとに変更することを求めている。」 「標準は複数の供給者の存在を求めている。」 「標準は主要サイトから50km以上離れた災害復旧サイトを求めている。」本当ですか? 標準はそんなことは言っていません。 残念ながら、この種の間違った情報を私はよく耳にします。世の人はたいてい、ベストプラクティスを標準の要件であると勘違いしているのですが、問題は、あらゆるセキュリティ規則があらゆる組織に該当するわけではない、ということです。これが標準に規定されていると主張する人は、おそらく標準を読んだことのない人です。
「IT部門にやらせればいい」
経営者はこの台詞が大好きです。「情報セキュリティはITの問題でしょ。違うの?」 それがそうでもないのです。情報セキュリティでもっとも重要な側面には、IT対策だけではなく組織的な問題や人材管理も含まれます。これらは通常IT部門の権限の範囲外です。これに関しては「情報セキュリティかITセキュリティか」も参照してください。
「数ヶ月もあれば導入できる」
ISO 27001は数ヶ月で導入できるかもしれませんが、それだけでは、誰も省みない方針や手順の山ができるだけで、なんの役にも立ちません。情報セキュリティを導入するということは、変更を実現しなくてはならないということです。変更を実現するには時間がかかります。
導入する必要があるのは、言うまでもなく実際に必要なセキュリティ管理策だけなのですが、その実際に必要な管理策の分析にも時間がかかります。これはリスクアセスメントとかリスク対応とか呼ばれています。
「この標準はすべて文書の問題だよね」
文書はISO 27001実施の重要な一部ですが、文書自体が目的というわけではありません。重要なのは活動を安全な方法で行うことであり、それを助けるために存在するのが文書なのです。また記録の作成は、情報セキュリティの目標が達成されたかどうかを測り、目標に達していない活動を修正するために役立ちます。
「標準はマーケティングの役にしか立たない」
「これをやるのは認証を取得するだけのためだよね?」はい。企業の8割は(残念ながら)そう思ってます。 私はここで、ISO 27001をプロモーションやセールスのために利用するべきではない、と言うつもりはありませんが、それ以外にも、WikiLeaksのような事件が発生するのを防ぐというような、大きな恩恵を得られるはずです。 「ISO 27001導入の主な4つの利点」や「WikiLeaksから学ぶ教訓:情報セキュリティとは何か」も参照してください。
要は、意見を言う前に、まずISO 27001を読んでください、あるいは、自分で読むのが退屈すぎる(それは私も認めます)というなら、実際にその知識を持つ人に相談してください、ということです。そしてそれをマーケティング以外の役に立たせる、つまり、情報セキュリティに対する投資を採算の合うものにする可能性を高めてください。
—
ISO 27001の導入と維持がさらに楽になる Conformio compliance software も便利です。