コンサルタントの選び方
ISO/IEC27001(以降、ISO27001)だけでなく、俗にISO27000シリーズと言われる規格にITはつきものです。
審査員にも多いのですが、ISO9001(品質)やISO14001(環境)の審査員が同じ感覚でISO27001にスライドしてくる、審査機関がそれを推奨している例もありますが、だいたいITで躓きます。
情報セキュリティではIT対策は重要です。ノートPCや入館証等の盗難・紛失対策だけでは不足します。ISO27001のコンサルタントにはITスキル、または知識は必須です。では、どうやって判断するか。
・システムエンジニアの経験がある
・会社の情報セキュリティ担当部門を経験している(単なるISMS事務局でなく)
・IT関連の資格を保有している(IPA資格やベンダー資格等)
これらは比較的わかりやすいですね。では、これらに該当しないとダメなのか、というとそうとも言い切れません。経験はなくとも、調べたり、勉強したりすれば知識は身に付きます。コンサルタントは必ずしもIT経験が必須とも言い切れません。
ある質問をすればITの理解度はある程度判断できます。
それは「システム、ソフトウェア、アプリケーション違いを説明してください」という質問です。
ISO27001附属書A 情報セキュリティ管理策の技術的管理策(主にIT関連)には、この3つの言葉が使われています。言葉が違うということは当然、意味も違います。ITに疎いコンサルタントが作る規定や手順書を見ると、システムとソフトウェアが同じ意味で使われていることが多いですが、コンサルタントはそれらの言葉の意味を説明できないことが多いです。
情報セキュリティ管理策は正当な理由があれば不採用(除外)できますが、例えば、システムに対する管理策を“ソフトウェア開発がない”という理由で不採用にしている場合、審査では“不採用の理由が適切でない”という指摘をされます。
前述の3つの言葉の違い…、それは次回のお楽しみに!
