情報セキュリティに関係する仕事をしている人であれば、誰でも一度は聞いたことがあるでしょう、ISMS(Information Security Management System)、規格でいうとISO27001です。
この規格の認証取得、維持にコンサルではなく実務で事務局として携わっていると、これって本当にセキュリティに役立つの?という場面に多く出くわします。
その大きな2つは、「ラベル付け」と「情報資産台帳」です。どちらもISO27001に記載はありませんが、ISO27002に管理策としてまとめられており、どちらも採用している組織がほとんどなのではないかと想像します(A.8.1.1 資産目録、A.8.2.2 情報のラベル付け)。
別にラベル付けしても普段の業務で取り扱いを変えるわけでもなく、台帳を作っても業務を行う中で参照するわけでもなく、認証の為に作っているけど全く使わないものだったりします。
私としては、この2つが特別セキュリティ的に重要だとは思わないのです。この2つが行われていなかったことが原因で発生したインシデントも無いのが現状です。
このA.8.1.1とA.8.2.2を不採用として認証を取るってありなんでしょうか?
採用しない合理的な理由があり、採用しなくてもISMSが回っていればいいのか。というのが今の悩み。