経営者インタビューの要点
トップインタビューの要点 → 経営者インタビューの要点
昔の規格訳文では「経営者」という用語を使用しているので、トップインタビューよりは経営者インタビューの方が収まりがいい。今は経営陣と少し幅を持たせている。だから経営陣インタビューとか。規格で経営陣のところは英文ではManagement(マネジメント)となっている。トップインタビューよりマネジメントインタビューにするかな。まあ、どうでもいいことですね。
さてと、経営者インタビューでは、何が要点となるか?
<経営陣のコミットメント>
直ぐに頭に浮かぶのが、「経営陣の責任」とするところ。経営陣のコミットメントとして列記されていることに対しての説明できるか。
- 方針。6年前に作ったままですね。特に見直しはしていない。一般論を記述した方針の特徴。企業ビジョンとか理念まで見直しているのに、ISMS方針は不動尊ですか。環境変化に対応させない方針にどんな意味がありますか。
- 他社等で顕在化した事件・事故・セキュリティ脅威または最新の技術動向・法規制を踏まえた新たな指示、方針への反映は実施しましたか。
- ISMSの目的は何ですか。方針と目的の違いは理解していますか。方針は方向付け、目的は達成する内容・レベル。実現目標。担当者に提案させ、承認していますか。前年度の方針レビューを実施していますか。
- 目的達成のための計画は適切に策定されていますか。担当者に策定させ、承認していますか。反映させ方針展開しているのですか。前年度の計画レビューを実施していますか。
- 組織・人事的な手当て。経営者として特に配慮していること。
- ISMSの周知。経営者として特に配慮していること。
- 経営資源の提供。経営者として特に配慮していること。主要なセキュリティ投資の内容。この数年の傾向。
- 受容リスクの水準とレベル。これは無理か。情報セキュリティ事故の被害額がどれくらいなら受容するかとした方がリアリティは出るだろう。コストベースのリスク算定が出来る組織は少ない。
- 内部監査。監査責任者の任命、目的(狙い)と結果、今後の課題。
- マネジメントレビューの主催。重要なインプット事項、主要な議論、指示事項(特記事項)。
<経営資源の提供>
ここは結構難しい。上のコミットメントはやや手続き的・形式的だが、ここは内容の問題になる。特にポイントとなるのは以下の3点。
- ISMSと事業との整合性。ISMSを進めることが事業を阻害するものであってはならない。シナジー要求。資源の排他的な取り合いの関係になっても困る。
- 全ての管理策実施の結果、セキュリティが維持できているか、レビューする。判断の根拠が特に難しい。
- 全体としてのISMSの有効性を改善する。規格は個々の管理策についても有効性改善を求めているが、経営陣については総合的なISMS全体の有効性改善を求めている。しかし、総合的なISMS有効性指標が提示できない。トータルセキュリティコスト(期待損失+セキュリティ投資)のミニマム化なら分かりやすいが、先ず把握できない。いずれにせよ、結果指標を持ち出す愚かだけは避けて欲しいところ。
<教育・訓練・認識・力量>
ここは経営陣として特記事項があれば話す。一般的・感覚的な内容しかなければ、事務方に答弁させておいて良さそうだ。
.*.
当然ながら、関連する規格項目についても基本的な理解がないと話が振られた(変化球が飛んできた)時に、空振りをやってしまいます。でも、まあ、その場はそれだけのことです。
