セキュリオの機能をISMSの観点から見てみよう【スケジュール管理】

情報セキュリティコンサルタントの立場から、LRMが開発・提供する情報セキュリティ教育クラウド「セキュリオ」の機能がどういうふうにISMSの規格をカバーしているのか整理してみる企画第6回、今回はスケジュール管理機能です！

会社のセキュリティを改善するなら情報セキュリティ教育クラウド「セキュリオ」

※特に何か依頼されているわけでもなく、勝手に書いているので筆者の意見と思ってください(笑)

セキュリオ「スケジュール管理」機能について

セキュリオ「スケジュール管理」機能は、タスクを管理して効率的なマネジメントシステム運用を実施できる機能です。

ISMSのタスクセットのテンプレートもあるので、そちらを活用することでISMSで必要なタスクを漏れなく管理することも可能です！

スケジュール管理 | 機能紹介 | セキュリオ

ISMS観点から見るスケジュール管理機能

スケジュール管理機能は規格のどこに当てはまる？対応できる？

【規格本文】

1. 6.1.3 情報セキュリティリスク対応/8.3 情報セキュリティリスク対応
   ＜規格要求＞
   情報セキュリティリスク対応のプロセスの確立、プロセスにもどつく実運用の実行。
   
   要求の一部として、「情報セキュリティリスク対応計画の策定」という規定があり、対応計画をスケジュール管理機能内でのタスク管理で対応することが可能です。
   

2. 6.2 情報セキュリティ目的及びそれを達成するための計画策定
   ＜規格要求＞
   情報セキュリティ目的を確立し、達成するための取り組みの計画立てた実行。
   
   要求の一部として、「目的達成のための実施事項の決定」という規定があり、実施事項をスケジュール管理機能でのタスク管理で対応することが可能です。
   

3. 6.3 変更の計画策定
   ＜規格要求＞
   ISMSの変更が必要と決定した場合の、計画的な変更の実行。
   
   「計画的な方法」をどのように捉えるかによりますが、方法の一つとして、スケジュール管理機能にタスクとして変更計画を落とし込んで順番に対応していくことも有効かもしれません。
   

4. 7.5.2 作成及び更新
   ＜規格要求＞
   文書化した情報の作成・更新の適切な実行。
   
   要求の一部として、「適切性及び妥当性に関する、適切なレビュー及び承認」という規定があり、レビュー・承認依頼をスケジュール管理機能でタスク化することによって、漏れなく実行しやすくなるかもしれません！
   

5. 8.1 運用の計画策定及び管理
   ＜規格要求＞
   要求事項や箇条6で決めたことの運用に必要なプロセスの計画、実施、管理。
   
   この取り組みの計画管理についての要求であるため、スケジュール管理でISMSの取り組みをタスク化し管理するという行為がそのまま直結します。また、計画通りに実施されたことを文書化した情報として残す必要があるため、その点でもステータス等が管理できるスケジュール管理機能はベストマッチです！
   

6. 9.1 監視、測定、分析及び評価
   ＜規格要求＞
   プロセスや管理策の監視、測定、分析及び評価を行い、パフォーマンス・ISMSの有効性評価を実施。
   
   要求の一部として、「監視及び測定の実施時期の決定」「監視及び測定の結果の、分析及び評価の時期の決定」という規定があり、スケジュール管理機能にタスクとしてそれぞれの時期を決めることも可能です。

【附属書A】

1. 5.30 事業継続のためのICTの備え
   ＜規格要求＞
   事業継続のためのICTの備えの計画、実施、維持及び試験の実施。
   
   要求の一部に、「試験の実施」という規定があるため、試験の実施時期などをスケジュール管理にタスク化しておくことで漏れなく対応が可能です。
   

2. 5.35 情報セキュリティの独立したレビュー
   ＜規格要求＞
   組織の取り組みの独立したレビューの実施。
   
   要求の一部として、独立したレビューの「あらかじめ定めた間隔での実施」という規定があり、スケジュール管理機能に定期的なタスクとして落とし込んでおくことが想定されます。
   

3. 5.36 情報セキュリティのための方針群、規則及び標準の順守
   ＜規格要求＞
   方針、ルールの順守のレビュー実施。
   
   要求の一部として、レビューの「定期的な実施」という規定があり、スケジュール管理機能で定期的なタスクとして落とし込んでおくことが想定されます。
   

4. 6.3 情報セキュリティの意識向上、教育及び訓練
   ＜規格要求＞
   方針やルールに関する意識向上プログラム、教育及び訓練の実行。
   
   要求の一部として、「定常的な更新を受けること」という規定があり、教育などの定常的な更新イベントをスケジュール管理機能にタスクとして落とし込んでおくと漏れなく対応できるかもしれません。
   

5. 6.6 秘密保持契約又は守秘義務契約
   ＜規格要求＞
   秘密保持契約・守秘義務契約を特定、レビュー、署名の実行。
   
   要求の一部として、レビューは「定常的に実施する」という規定があり、レビューを漏れなく実施するためにスケジュール管理機能にタスクとして落とし込んでおくことなどが考えられます。
   

6. 8.13 情報のバックアップ
   ＜規格要求＞
   バックアップの維持、定期的な検査の実施。
   
   要求の一部として、「定期的な検査の実施」という規定があり、定期検査をスケジュール管理機能にタスク化しておくことで漏れなく対応することが可能です。

スケジュール管理機能を使うメリット

ここまではスケジュール管理機能がISMSの規格とどのように関連しているか整理してきました。
続いてISMSでセキュリオのスケジュール管理機能を使うメリットについて考えてみましょう。

1. タスクの進捗状況を一目で確認できる
   スケジュール管理にISMSで行う取り組みを一覧化しておくことで、何をいつごろ行うのか、いまどのような進捗状態にあるのかなどを一目で確認することが可能です。
   

2. 漏れなくタスク対応できる
   一般的なExcelやスライドなどでのスケジュール管理の場合、担当者がその資料を見に行かなければならないため、本業などが忙しくなってしまうとタスクが後回しになってしまいがちです。
   その点、スケジュール管理機能は実施時期や担当者を割り当てることができるため、自分がいつ何を実施する必要があるのか忘れず対応することが可能です。
   

3. ISMSのポータルにも活用できる
   もともと想定されている活用方法ではないかもしれませんが、個人的にはこの活用ができると思っています。
   
   というのもスケジュール管理機能にはISMSで1年間行なってきている取り組み全てが含まれているので、例えば各タスクの備考欄などに関連ルールや記録のリンクを貼り付けておくことでそのまま必要なデータに飛ぶことができ、混乱せずISMSの運用や審査対応を行うことができるのではないかというアイデアです！

まとめ

今回は第6回として「スケジュール管理」機能を取り上げました。

専任担当者がいたり、ISMSに相当積極的に取り組んでいなければ、やはりISMS関連タスクへの対応は後回しになりがちです。
スケジュール管理機能はその点をカバーすることができる、ISMS運用にとってすごく重要な機能だと思っていますし、個人的には上手に使えばセキュリオの中でも最もメリットがあるのではとさえ思っています！！

また、今回関連規格について紹介しましたが、それぞれの管理策に関する取り組みをタスク化できるという観点では、すべての規格、管理策が関連する機能ということもできます。

ISMSのタスクが漏れがちになってしまう、何をやるべきかイメージしきれないなどの悩みがある場合はぜひ一度確認して見てください！！