プロセスベースに対してどんな審査があるかと言うと規格ベースがある。要求規格だから要求をクリアしているかどうかを規格に沿って確認していく方法。
規格ベースは鼻から規格の順番でやるので、事務局を相手にするシステム構築の部分は自然な流れで審査が出来るが、管理策からは現場の審査になるためある意味ではぶつ切り審査になる傾向がある。
規格ベースで管理策の審査をやった後も、やはり現場に入って運用の実態を確認することになる。現場運用のルールと実態の2段階審査になっていてそれなりの合理性はある。
規格と言うテンプレートの上で実態(プロセス)を眺めるのが規格ベース審査。それに対してプロセスをテンプレートにして規格(要求対応)を見るのがプロセスベース審査。但し、プロセスベースでも網羅性の観点は外せないから、根っこにあるのは当然だが規格になる。
プロセスベースが必要な理由は、複数規格の審査を同時行うには規格ベースでは成立しないと言う基本的な問題があるため。結果プロセスベースしか存在しない。
手順:
- 業務(プロセス)の概要を聞く。物・人・金・情報の動き。インとアウト。付加価値。組織の役割責任と体制。この辺はどのプロセスでも共通の事項。
- 摘要規格の観点から、脅威・脆弱性・リスク認識、管理策(部門規定)の妥当性と運用の実態(記録・設備状況・保管状況等)の適切性を確認する。
- 確認はサンプリングになるため、網羅性を確保することを念頭に予め部門ごとに規格(特に管理策)のどの部分を質問するかチェックリストを用意する。
- 複数規格同時審査を可能とすることだけでなく、
- 合理的なサンプリングの結果、個々の審査でも審査の効率改善に有効。
- 重要なプロセスに沿った確認が多くなり結果的に重要資産の審査が出来る。(重箱の隅を突く審査からの脱却)
