解決したい課題 規格改訂・法改正に対応したい

規格改訂/法改正が行われた際に必要な対応

規格改訂や法改正が行われたら、どのような対応が求められるのでしょうか。
ISMS/ISO27001の規格改訂を例にとって考えてみると、大きく分けて次の3つの対応を行う必要があります。

まずは、ルールの見直しを行います。旧規格との変更点を確認し、ルール化する項目を検討していきます。ルール化する項目が決定したら、規程や文書、記録などを修正していきます。

次に、制定した新しいルールに則って運用をします。制定したルールに抜け漏れがないかなどを確認するとともに、従業員に対して情報セキュリティ教育などを実施し、必要なリテラシーを身に着けてもらいます。

そして、内部監査の実施やマネジメントレビューの実施を通して、ルール運用状況の確認を行います。

このように、規格改訂や法改正への対応として、規程の修正だけではなく実際に運用を回してみて、その運用に無理がないか・不十分な箇所がないかを確認するところまでが必要です。

また、ISMS/ISO27001などの第三者認証の場合は、PDCAサイクルを一巡させた後に、新規格への移行審査が必要になります。

規格改訂/法改正への対応で押さえておくべきポイント

ここまでは、規格改訂や法改正への対応方法や対応内容についてご紹介してきましたが、対応する上で注意したいポイントとしては、例えば次のようなことが挙げられます。

やるべきことの全体像を把握しておく

規格改訂や法改正への対応は、規程の修正だけではなく、運用まで回す必要があります。
また、自社だけで対応するのか、コンサルティング会社に依頼するのかなど、対応方法によっても自社が対応すべき範囲は異なります。何をすべきかの全体像を把握し、適切な担当者の設定を行いましょう。

対応スケジュールを早い段階で決めておく

やるべきことの全体像が見えてきたら、対応スケジュールを決めましょう。
法律への違反は罰則が設けられていたり、規格改訂における移行審査には対応期限が設けられていたりするため、余裕を持って対応できるように早い段階からスケジュールを決めておくことが望まれます。

社内ルール見直しのレベルを決めておく

規格改訂や法改正によって変更された箇所については、あくまで指針を示す内容のものも少なくありません。

例えば、ISMS/ISO27001規格における「ネットワーク、システム、及びアプリケーションの異常な挙動を監視し、潜在的な情報セキュリティインシデントを検出し、リスク分析や対策を実施しましょう」という旨の記載に対して、①既に導入済みのウイルス対策ソフトにおけるモニタリング機能を用いるのか、②リスク分析や対策を検討した上で、新しい監視ツールを導入し、当該ツールの運用について社内ルールに盛り込むのかなど、具体的な対応については各企業が決めていかなければなりません。

自社はどのレベルまで踏み込んでルールを見直すのかについて、社内で合意しておくことで手戻りを防ぐことができます。

とは言え、やるべきことの全体像の素早い把握や、自社に適したルール見直しのレベルを検討するためには、専門的な知見を持った人材が必要になってきます。
自社内にそういった人材が不在の場合は、信頼できるコンサルティング会社への依頼も選択肢に挙げてみましょう。