管理策の有効性の測定について、ISO/IEC27001:4.2.2 d) では、
「選択した管理策又は一群の管理策の有効性をどのように測定するかを定義する」
ことを要求しています。
管理策の有効性の測定?
ISMSを確立、構築する中で、リスクアセスメントを実施します。
リスクアセスメントでは、洗い出した情報資産の中でリスク受容基準を超える
リスクに対して、対策を実施します。
その対策を実施する際に、規格の付属書Aから、対策することができる、
要求を満たすことができる管理策(セキュリティ対策)を選択します。
そして、その管理策の選択は間違っていないのか、或いは、その管理策で
十分なのかということを評価するということが「管理策の有効性の測定」です。
有効性の測定方法は
では、管理策の有効性を測定する方法はどんな方法があるのでしょうか?
目的は、実施した対策が十分でリスクが顕在化していないかということを
確実に確認する必要があります。リスクが顕在化してしまうということは
選択した管理策が有効ではないということに繋がるからです。
そして、方法としては、リスクを軽減するような対策が確実に実施できているか
それを定期的な運用確認(リスクアセスメント)の中で、チェックします。
それ以外にも、内部監査実施の際に確認、状況を把握することも良いと思います。
時代とともに、また業務を行う体制などの環境の変化とともに、
リスクも変わってきますので、管理目的に合致する有効な管理策を採用し、
ISMS、情報セキュリティの維持、改善ができます。
運用方法などでお悩みの方、またはこれからISMSを構築される方は、LRMの無料訪問サービスを
ご利用頂ければ、会社様にあったご提案、回答をさせて頂きますので、是非ご利用ください。