少し古い情報ですが、JNSAから2014年の10大ニュースが発表されています。

やはり昨年のセキュリティの話題で注目されたのは、ベネッセの個人情報流出事件でした。

http://www.jnsa.org/active/news10/

ISMSの観点で非常に重要な事項が書かれています。

以下、その部分を抜粋します。

「また、ISO/IEC 27001の情報セキュリティマネジメントシステムの観点でみると、個別のセキュリティ管理策の有効性への言及はあるが、マネジメントシステム自体が有効に機能していたのかという問いには答えられていない。監査の重要性が強調されているが、監査対象が管理策レベルにとどまっているのはいささか視野が狭いのではないかと思わせる。情報セキュリティ監査制度に則り、マネジメント基準も含んだ効果的な監査の計画と実施が求められる。

さらには個々のセキュリティ管理策がリスクアセスメントに基づいて設計されたものとは言い難い側面も指摘されており、ビジネス環境全体のセキュリティを意識して設計しなおすSecure by (re-)Designの重要性も指摘しておかなければならない。

再発防止策に今後の意欲的な取り組みが示されているので期待はできそうであるが、ガバナンスの欠如がセキュリティマネジメントのマンネリズムを生み、管理策の維持更新がおろそかになっていくということを肝に銘じてもらいたい。」

 残念ながらISO27001を取得している組織でも、リスクアセスメントを認証取得のアリバイという認識でしかないところが多いです。

「昨今、＊＊＊＊な事件・事故がありましたが、その事例に関するリスクについて、リスクアセスメントの見直しや反映をしましたか？またはもともとそのリスクは特定されていましたか？」

という質問しても、答えられないのです。

これは、最新情報・技術の観点で、リスクアセスメントからセキュリティ対策を再設計・見直しをしていないということになります。つまりリスクアセスメントプロセスが有効に回っていないことを示しています。

このニュースを確認しつつ、御社のセキュリティ対策が最新化されているかどうか再確認ください。

もちろん、事件はこれだけでは済まないのですが。