プロセスは相対的なものですが、今、相手にしている審査対象を1つのプロセスと見て審査することが出来る。プロセスのスーパーセット(上位概念)とサブセット(下位概念)の理解も必要。IDEF0?の発想で捕らえれば全部共通になる。
ISMSの観点でIDEF0を見ると、
先ず情報の流れを捉える。基本プロセスである情報の受け入れ、情報の加工、情報の吐き出し。コントロールするための情報管理体系。支えるメカニズムである情報システム、関連マニュアル、従業員など。
この全体をもう一度、ISMSの視点で包みなおす。機能別マネジメントの1つ、セキュリティの側面で捕らえなおす。実態はISMSも情報管理体系に埋め込まれてしまうが、ある要件に応えているかどうかを見るために、ISMSのフレームに乗せなおす。
ところが、ISMSあるいはセキュリティの定義が実はとても広いものだから、情報セキュリティからセキュリティを外しても実は同じものになるので分かり難い。ただの情報管理と言ってくれた方が分かりやすい。
- プロセスの構造を理解する。責任者、スーパーセット、サブセット、役割責任あるいは機能概要、重要な情報の入力・出力・推進機構・統制機構(ICOM)。
- 統制機構(コントロール)の概要、及び統制機構が要求する記録・実態の確認。
構築が終わっていれば管理策はコントロールに既に盛り込まれている(筈)。記録を追えば、その部署の管理策の実施状況が確認できる。即ち、管理策をベースに突っ込む必要はない。プロセスベースと言う訳だ。
本当にそれで良いのか?。これは”筈”に支えられた推論でしかない。
その部署の重要情報資産の特性を見抜き、その特性から予見される管理策の有無・実施の状況を確認すべきだ。ある部分は既に管理マニュアルに反映され、実施の記録もあろうが、ある部分では管理されて居ないかもしれない。
穴が見つかれば、リスクアセスメントに戻って、構築プロセスをトレースする。その中で、仕組み上の結果、実施上の欠陥が指摘できる。
