情報セキュリティの考え方 現実編・情報セキュリティの考え方 仮想編の続きです。 情報セキュリティとISO14001やISO9001とでは、関連が無い。という認識が一般的でしょうか?それとも、同じ関連を持つ物とするのが一般的でしょうか?
この点については私もよくわかりません。(規格自体がどういう位置づけか?という意味で)
すくなくともISO14001やISO9001の審査では、情報セキュリティに関して話題に上ったこともなければ、審査の対象になったこともありません。
ISOの両規格では、コンプライアンスの順守に関して要求されていないのでしょうか?
ISO14001:2004
4.2 環境方針
b)継続的改善及び汚染の予防に関するコミットメント
c)組織の環境側面に関連して適用可能な法的要求事項及び組織が同意するその他の要求事項を順守つするコミットメントを含む。
4.3.2 法的及びその他の要求事項
a)組織の環境側面に関連して適用可能な法的要求事項及び組織が同意するその他の要求事項を特定し、参照する。
b)これらの要求事項を組織の環境側面にどのように適用するかを決定する。
組織は、その環境マネジメントシステムを確立し、実施し、維持するうえで、これらの適用可能な法的要求事項及び組織が同意するその他の要求事項を確実に考慮に入れる事。
ISO9001
5.2 顧客重視
顧客満足の向上を目指して、トップマネジメントは、顧客要求事項が決定され、満たされていることを確実にする事。
5.3 品質方針
b)要求事項への適合及び品質マネジメントシステムの有効性の継続的な改善に対するコミットメントを含む。
ISO9001の方は微妙ですが、ISO14001の方は法律の順守とあるため、一見対象内に含まれているようにもうかがえます。
環境側面に適用可能
というのをどう解釈するか。場合によっては
「「環境側面」に限定された規格だから、「品質側面」や「安全側面」、「衛生側面」や「経営側面」「情報側面」といった、環境以外の側面は除外した規格だ」
という解釈の元、運用されているという解釈もあるかもしれません。
そもそも環境ってなんなんだろうというところから始まりますが……
今日は環境における情報セキュリティの管理について、ということで。
情報管理というと、守秘義務のある技術情報やら個人情報やらがインパクトがあり、パソコンや紙ファイルの管理方法に目が行きがちです。
しかしながら、化学物質というのはそれ自体が様々な側面を持っています。
たとえば、消防法に該当する危険物などは、その数量のが一定量を超えると、少量危険物として届出を出した場所に保管したり、危険物庫として届出た場所に保管したりと規制がかかります。
PRTR法に該当する薬品の場合は、その数量(取扱量)が1t以上を超えると排出量や移動量を届け出る必要があります。
有機則に該当する薬品の場合、使用方法に規制がかかりますし、使用者にも一定のルールを順守する義務が生じます。
そして、毒物や劇物については、薬品は施錠管理しなければなりません。
これは、火薬類も同様で、「盗難にあい、または紛失することを防ぐのに必要な措置」という法的に要求されたセキュリティ管理を行う必要があるわけです。
当然、他の情報が盗まれた場合と同じように、毒劇物、火薬が盗まれたり紛失したりした場合は、警察に届ける等、必要な措置を講じるわけです。
もちろん、これらの物品が「どこに保管されているか」という情報の流出も重大な事故となりえますから 、現物だけをセキュリティ管理すればよい。とはいかないわけです。
薬事法に該当する薬品を取り扱う場合も同様でしょう。
そういう薬品類は環境管理から除外しますか?
除外するというのも一つの手です。
ただ、薬品は「特定の法律だけしか適用されない」という限定された条件はありません。
また、ISO14001(つまり環境管理)では管理しないと決定しても、結局のところは何かしらの管理を行うことが求められます。
また、薬品の管理というのは同時に「品質管理」 もかかわってきます。製品というのはその場で保管していても、年月によって中の組成が変化する、といったケースも生じます。
物によっては冷暗所に保存など、温度管理も必要になります。
の中には「品質保証年月」というものが定められていたりします。
管理するうえでは、「製造年月日」または「入庫年月日」という「品質」に関わる部分も管理する必要が出てきます。
何が言いたいかと言えば、環境管理というのは「品質管理」や「情報管理」「安全管理」「衛生管理」といった、様々な分野とは切っても切り離せない関係にある。ということです。
まさか、環境管理に関連する部分だけ、情報セキュリティや品質管理、衛生管理を独自に定めて管理するといった、ダブルスタンダードなことはやってませんよね?
審査員についても同様です。
法的その他の要求事項を守るために、これらの薬品類の管理について、その情報も含めて確認するという行為は、結果として情報セキュリティの管理のルールや物品のセキュリティ管理のルール も含めて確認しなければ、「PDCAサイクル」が回っているかどうかわかりませんし、「PDCAサイクル」に抜けがあるのかないのかもわかりません。
第三者審査は、法律などが守られているかどうかを確認するのが仕事ではなく、要求事項を満たしているかどうかを確認する。抜き出して言えば、法律などがきちんと遵守できる仕組みがあり、きちんとまわっているかどうか、穴が開いていないかどうかを審査するのがお仕事です。
そうなると、どうしても情報にしろ品質にしろ衛生にしろ、その意思決定まで踏み込まなければならないわけで、環境管理の体制だけ見ておけば済む話ではない。というのがわかります。
しかしながら、複数ある体制をすべて確認するのは難しいのも道理ですから、トップマネジメントへのインタビューがいかに大事であるか、大事にしなければならないかという
いろいろ体制はあっても、上に行けばいくほどトップは大体が同じ人になるためです。ことがうかがえます。
10分インタビューして終わり。
では、全く話にならないわけです。
トップの意思や思想が「管理体制」に反映されているかどうか、トップからの伝達の仕組み、反映の方法、そして職員へ周知がなされ、理解されているかどうかなどを確認することもまた、審査員として確認すべき重要事項です。 
世の審査員の方々、やってますか?
すくなくとも、そのような審査を受けたことは、私の経験では一度たりともありませんけどね。
きちんと顧客の立場を理解すれば、環境だけ見ればよいというのが過ちである。きちんと組織の運用を評価しないから、悪く言われる。
- セキュリティは環境と関係ない。
- ISOとは関係ない。
こんなことを言ってはいられない。
これは審査員側も運営事務局側も同様このあたり、極論を言えば効率を進めると「一つの体制で運営する」という形、つまり従来から存在する「組織体制」一本に落ち着きます。
これは持論ですが
マネジメントシステムは一つしかない。
組織の規模により、役割の違う管理責任者(管理部門)が複数必要なだけである。
要約(?)すると
複数マネジメントシステムがあるなんて、社長さん、あんたどんだけ自分の経営に自信がないねん(ツッコミ)
ってやつです。
最期に、つまみ食いばかりしてたら、ISO認証制度もISO事務局も、生き残れませんよ。
0 件のコメント:
コメントを投稿