ISMSにしてもプライバシーマークにしても、必ず審査というものが存在します。
審査は、企業の構築した情報セキュリティマネジメントが、それぞれ審査項目に沿って、規格に沿っているかを審査していきます。
規格に沿っていない部分や、もうちょっとこうしたほうがいいんじゃないのかな、という部分については、審査員より「不適合」や「観察事項」という形で指摘事項が伝えられるのです。
この指摘事項、少ないに越したことはないのですが、しかし全く指摘事項がないというのは、あまり好ましくないというふうに私は考えています。
そこで今回は、その「好ましくない」理由についてご紹介したいと思います。
指摘事項はゼロにできるのか
コンサルタントをしていて、今まで指摘事項がゼロだったことは、ありません。
規格に沿っていない「不適合」がゼロであることは、コンサルタントである以上基本ですが、「観察事項」は必ず1つ、2つ存在しています。
コンサルタントに依頼して構築したのに観察事項が出るの!?と思う方もいるかもしれませんが、観察事項は必ず出されるものだと思っていただけるといいかと思います。
不適合と観察事項の違いって何?
不適合は、即是正すべき指摘事項です。
例えば、ISMSの計画が存在していないなど、規格の要求事項を満たしていない場合に出されます。
こちらは是正を行わないと認証が取れないような重大な指摘事項になります。
一方で観察事項は、軽微な指摘になります。
規格の要求事項は満たしているけれど、改善の余地がある場合に出されます。
観察事項に関しては、是正を行うかどうかは検討することができ、場合によっては是正しなくても認証は取得(または更新)できます。
指摘事項ゼロっていいの?
審査はあくまでもサンプリング審査ですので、ごく稀に指摘事項ゼロはあり得るでしょう。
ただ、個人的にはあまり望ましい結果とは考えていません。
勿論、不適合はないに越したことはありません。前述のとおり、不適合とは規格の要求事項を満たしていないということですから。
しかし、観察事項はその限りではないと考えています。
観察事項がないということはつまり、改善の余地がない。さらに突っ込んでしまえば、企業でのISMS形骸化の初めの一歩だと思えるからです。
だからといってたくさん観察事項があった方が良いのかというと、そうではないのですが、ただ、「まったく指摘事項がない」という事態になると、それはすなわち「ウチの情報セキュリティ体制は完璧!」ということになってしまい、現在の情報セキュリティ体制に改善をしていくことをリスクに感じてしまう場合があります。
これは、大変よろしくありません。
情報セキュリティとは、常に改善を行うものです。
審査とは認証を取得し、維持し続けることが最大の目的ではありますが、それ以外にも、運用している情報セキュリティマネジメントを客観的に評価される素晴らしい機会です。
面倒くさい~と思うかもしれませんが、是非前向きに取り組んでいただきたいと思います。