- 人見 隆之
- ISOマネジメント研究所 所長
- ISOコンサルタント
対象:ISO・規格認証
- 人見 隆之
- (ISOコンサルタント)
- 人見 隆之
- (ISOコンサルタント)
最近、ISO27001(情報セキュリティ)の審査に同席させて頂くことが多いのですが、
同席した審査で、こんな指摘をうけました。
「社員の使用しているPCの中に、圧縮・解凍ソフトとして、Lhaplusが使用されている。
このソフトにはパスワード解析ツールも含まれているため、不正使用される危険性が
考えられます。よって、改善の機会(OFI)の指摘」
「使用しているPCのデスクトップ上の“ごみ箱”に古いファイルが複数残されており、
盗み見の可能性がある、というので、これも審査報告書上でのコメント事項。
(その会社のルールでは、“ごみ箱”について、何もふれていませんが、審査員の
基準(公開情報として)としてセキュリティ上問題があるから)」という指摘です。
このように、
マネジメントの仕組みの観点からではなく、審査員が自分の知っていることに関して、
どうしてもコメントしたくなるような事例をしばしば見かけます。
これは、情報セキュリティの審査だけに限らず、品質や環境の審査でも表れるようです。
審査の指摘において、ごみ箱に古いファイルが複数残されていた、ぜい弱性の弱い
ソフトウェアが使用されていた、というのが、指摘する材料(エビデンス)として、
出てくるのなら、よくわかるのですが、事実の背景も考慮されず、それが、そのまま
指摘として出て来るというのは、マネジメントシステムの認証審査として、違和感を
感じます。
受審企業には、具体的な個別事例の指摘はわかりやすいのですが、単にやれているのか、
いないのかの審査であれば、ISOは単にうるさいものという誤解が生じる可能性があります。
審査員の指摘をそのまま受け入れる企業は多いと思いますが、ちゃんとした理由があって
納得がいかない指摘に対しては、審査員のいいなりにならないことが必要です。あくまでも
審査は合議が原則です。
対応策として、まずは、審査機関(該当審査員ではなく)に、営業担当を通して問い合わせを
することです。このような審査を受けた、審査機関としての見解を教えてほしい、
という要望を伝えることです。この種の要望は、審査機関としても強く印象に残り、
また内部の審査員どうしの引継ぎ情報にも載るため、よい方向にいくケースが多いようです。
ISOの効果的な運用およびISOの審査を有意義なものとするためには、
自社および審査機関(審査員)との連携は、ぜひとも必要なことです。
このコラムに類似したコラム
ISO27001における、情報セキュリティリスクの想定 人見 隆之 - ISOコンサルタント(2011/04/02 10:08)
ISO27001は情報セキュリティ対策のツール 人見 隆之 - ISOコンサルタント(2010/12/01 11:08)
審査員のご機嫌を取るISOはやめなければいけない 人見 隆之 - ISOコンサルタント(2013/06/30 21:06)
情報セキュリティは、業務改善とも大いに関係してくる 人見 隆之 - ISOコンサルタント(2013/05/15 10:11)
審査費用が安いだけのISOの審査機関移転は、やめた方がよい 人見 隆之 - ISOコンサルタント(2012/03/13 14:35)