Dejan Kosutic あなたは、いつの間にかセキュリティ方針や手順を書く立場になっていたことはありませんか。 そんなことになっても、自分の書いた文書が引き出しの中で埃をかぶるような、ありがちな結果にはなりたくないですよね。そんなあなたの役に立ちそうな事があります。
これから私が紹介するステップは、さまざまなクライアントとの経験に基づいて私が設計したもので、大組織・小組織、公的組織・私的組織、営利組織・非営利組織など、いかなるクライアントにも該当します。 このステップは実際には、ISO 27001やBS 25999-2関連のものだけではなく、いかなる方針や手順にも適用できます。
1 要件を調べる
まず、さまざまな要件を慎重に調べる必要があります。文書化を要求するような規制はないか。クライアントとの契約はないか。組織内に既存の方針(社内標準)はないか。そしてもちろん、ISO 27001やBS 25999-2に準拠したいと思っている場合には、その要件はどうか。
2 リスクアセスメントの結果を考慮する
リスクアセスメントでは、文書の中で扱う問題だけでなく、その程度も判断します。たとえば、情報を機密度によって分類するか、する場合には、必要な機密度の数は2か3か4かなどを決める必要があります。
方針や手順が情報セキュリティや事業継続に関係しない場合には、このステップはこのような形をとらないこともあります。 けれども、リスクマネジメントの原則は、品質管理(ISO 9001)や環境管理(ISO 14001)など、他の分野にも同じように適用できます。 たとえばISO 9001では、品質管理にとって特定のプロセスがどの程度重要かを判断し、その判断にしたがって文書化するかどうかを決断する必要があります。
3 文書の構成を整理・最適化する
考慮しなくてはならないのは、文書の総数です。1ページの文書を10部書くか、それとも、10ページの文書の文書を1部書くか。どの文書も対象読者が同じなのであれば、1部だけの方がはるかに管理しやすいです。 (もっとも、100ページの文書を作るのはやめましょう。)
また、文書間の整合性にも注意する必要があります。ある文書で定義した問題が、すでに別の文書で部分的に定義されていることもあります。このような場合、必ずしも新しい文書を書く必要はなく、既存の文書を拡張するだけで済むかもしれません。
すでに他の文書で言及済みの問題を新しい文書に書く際には、冗長にならないようにしてください。 同じ事を記載した複数の文書を後で管理するのは悪夢です。同じ事を繰り返すのではなく、一方の文書からもう一方を参照するようにした方がよいでしょう。
4 文書の構成を決める
また、文書書式に関する会社のルールを注意深く遵守する必要があります。フォント・ヘッダ・フッタなどを定義したテンプレートがすでに存在することもあります。
すでにISO 27001やBS 25999-2(あるいは他のマネジメント規格)を導入済みである場合、文書管理手順を遵守する必要があります。この手順では、文書の書式だけでなく、文書の承認や配布のルールも定義しています。
5 文書を書く
経験則によれば、組織が小さいほどリスクも小さく、文書も簡単になります。 誰も読む気にならないような長い文書を書くほど無駄なことはありません。文書を読むには時間がかかり、人間の注意力は文書の行数に反比例するということを理解する必要があります。
このような他の従業員の抵抗(定期的にパスワードを変更しなければならない、というような変更が好きな人は誰もいません)を乗り越える妙手は、従業員自身を文書の作成やレビューに巻き込むことです。そうすれば、彼らはその必要性を理解してくれます。
6 文書の承認を得る
これはわかりきったステップですが、重要な意味があります。それは、社内で地位の高い管理者でなければ、文書を強制する権限がないということです。
それが、そのような地位にある者が文書を理解・承認し、その導入を積極的に求めなければならない理由です。 これは一見すると簡単そうですが、実際には簡単ではありません。導入時に最もつまづきやすいのは、このステップ(および次のステップ)なのです。
7 従業員の訓練および意識向上
このステップはおそらく最も重要なステップですが、残念ながら、非常に忘れられやすいステップでもあります。 先に述べたように、従業員は絶え間ない変更にうんざりしており、さらなる変更を歓迎することはありません。特に、それが仕事を増やすような変更ならなおさらです。
したがって、そのような方針や手順が必要な理由、会社全体だけでなく従業員個人のためにもなる理由を、従業員に説明することは極めて重要です。
また訓練が必要な場合もあります。新しい活動を実施するスキルを誰もが持っていると決め付けることは間違っています。文書を書いたあなた自身から見れば、簡単かつ自明な事かもしれませんが、従業員から見れば脳手術のように難しく見えることもあります。
これで終わり?
これで文書導入の話は終わりだと思ったら大間違い。あなたの旅はまだ始まったばかりです。誰もが気に入るような完璧な方針や手順を導入しただけではまだ不十分で、さらにそれを管理する必要があります。
誰かが絶えず文書を更新・改善しなければ、誰もそれを遵守しなくなるでしょう。そしてその「誰か」は大抵いつも同じ人、つまり文書を書いた人間です。 それだけではなく、そのような文書の目標が実現されたかどうかを誰かが測定する必要もあります。その「誰か」もおそらくあなたです。
この記事を読めば気づくかもしれませんが、方針や手順を成功させるには、優れたテンプレートがあるだけでは不十分です。必要なのは、それを導入するための包括的なアプローチです。その際に、忘れてはいけない重要な事があります。 それは、文書自体は目的ではないということです。文書は、活動やプロセスを円滑に実行することを可能にする道具に過ぎません。 逆に、そのような文書が活動やプロセスの実施をより困難にするというようなことがあってはならないのです。
—
また、弊社のビデオ・チュートリアル How to Write ISO 27001/ISO 22301 Document Control Procedure もご利用ください。