2008年3月22日土曜日

「情報セキュリティ管理基準 Ver2」作成プロジェクト

JASAの監査手続作成プロジェクト詳細監査手続作成チームで進めていた「情報セキュリティ管理基準 Ver2」が終了しました。3月11日から19日まで行われていたJASA会員、CAIS登録者向けのパブリックコメントで意見を募り、3月20日は祝日でしたがメンバーが集まって、コメントの検討と反映作業を行いました。引き続き、JASA事務局で最終的な編集、校正作業を行い、3月21日に経済産業省へ納品しました。

やれやれです。

このプロジェクトは昨年末から始まっていたのですが、私は転職を控えた時期で、引継ぎ等で実質的に参加できたのは、年明けでした。現在の勤務先にもJASA、ISACAでの活動を了承してもらい、1月の会合から参加しました。それでは、メールでの意見交換、情報交換でしたが、やはり関係者が会同して、討議するのは絶対に必要なだと、改めて確認した次第です。
議事録に記載される数行のために、それに数倍、数十倍する言葉のやり取りがあり、意識変化があり、それを文書だけで表現することは困難ですね。また、議事録に記載された事実より、それが決まるまでのプロセスが大事ですし、場合よってはその方が重要であることもありますね。
議論の中では、管理策ポイントとして適切なのか、必要なのか、現実的なのかといった有効性の観点からでなく、句点の位置や接続詞や修飾詞、主語述語目的語の確認など判りやさも検討しました。
ひとつの管理策ポイントだけで数十分を費やしたこともあり、基準作成の陰の苦労というものを実感しました。
参加メンバーは、ISMS認証支援やJ-SOX対応などに従事するコンサルタント、監査法人で情報セキュリティやシステム監査を担当する監査関係者などで、メンバーが各々の知見に基づき、活発な交換がありました。私自身は、ソフトウェアベンダーやハードウェアベンダーでのエンジニア、システムの実際の運営に携わった経験を意見として表明していこうと意識していました。色々な職種、出自のメンバーで討議することで、それぞれの経験知見が生かさて確実に質が向上すると思います。時間がかかり非効率な面もありますが、適切な人数の範囲でチームで取り組むというのは重要ですね。
(適切な範囲を越すと却って、主題が散漫になってしまう危険もありますが)
私は、このような基準作成には、初めて参画したのですが、誠に貴重な経験でした。今後もこのようなチャンスがあれば、参加していきたいですね。
ところで、「情報セキュリティ管理基準 Ver2」ですが、経済産業省HPからパブリックコメントが募集され、そのコメントが検討反映された後、正式に発表されます。
我々は、それを見守りながら、メンバーでの打ち上げで祝杯を挙げます。
では!!

0 件のコメント:

コメントを投稿