適用範囲を変更する時は認証の前提が変わるので変更による規格適合性からの逸脱の有無を確認する特別審査が実施される。
ロケーションの変更:
最も多くのケースがこれ。サイトの引越し。住所の変更にともない、環境も変わる。同一ビル内でもフロアや占有スペースの場所が変わるケースは住所的には同じでもやはり特別審査を行う。移転時の審査だから移転審査。サイトが追加される拡大審査。サイトが統合されてサイト数が縮小する縮小審査。単純にサイト(スペース)が縮小される縮小審査。規模縮小のケースも有れば、特定部門を適用範囲から外すケースもある。
注意すべきは:
①部門を外すケース。適切な理由も無く除外することは全体のセキュリティ強度を下げるリスクを持つため好ましくない。経営者の姿勢に問題がある。
②引越しの後で特別審査をやっているが、引越しと特別審査の間は免許運転状態だということ。無免許運転の期間は短いがいいに決まっている。どこかに明確なガイドラインがあればいいが、この辺はルーズ。半年以上も後になって、特別審査でなく定期審査で変更の是非を審査することがあるようだ。不適合も何も出さないらしい。この間に重大事件が発生しても知らなかったで済ます腹だとしたら、誰の問題か分からなくなる。
③引越しと言う重要なイベントに対するセキュリティ評価は穴が開いたまま。特別審査なのだから引越し計画の審査も含めてやるべきでしょう。
事業の変更:
既存の適用範囲で新しい事業を始める場合。新しいビジネスプロセスと既存のビジネスプロセスの関係からセキュリティを脅かすものが無いかどうか。
法律・契約の変更:
法律・契約の変更の度合いによるが、順守のために既存の仕組みを大きく見直したケースでは特別審査を行う。ISO規格の変更時も特別審査が必要。
組織の変更:
組織変更の程度によるが、大幅変更の場合は実施。人数の大幅変更も該当する。大幅って何人ですか?どこかにガイドがあったかもしれない。例えば、組織人数の10%が増加したケース。また、新たに作られた組織(既存のISMSに属さない組織)が設置されたケース。
技術の変更:
組織の情報マネジメントにおける重要技術を変更する場合。基幹システムのホスト・端末・ベンダーの切り替え、新規にERPを導入、外部のデータセンター利用への切り替え、全社ネット(データ、音声、映像系)のIP化切り替え、など。既存の管理策に大きく影響を与える場合。
.*.
特別審査は実は良く分からない。特別審査を要求するのは誰なのか。余計なコンサル・アドバイスをすると煙たがられるだけです。
重大な変更があったときは組織は審査機関に連絡することになっている。変更のレベルにより特別審査の必要性を審査機関が判断する。組織が残すエビデンスは変更について確かに伝えたという記録。変更と連絡の日付が大きくずれると不味い。後は、審査機関の判断結果の受領記録。
もし、組織から変更連絡が適切に行われなくても、審査機関がそれを咎めなかった場合は、審査機関はルーズな対応を是認したことになり、後々問題が起きた場合も、聞いていませんからの言い訳は出来なくなる。多分。
.*.
