説明
ISO/IEC 27001:2013 の 9.1 項によると、組織は情報セキュリティのパフォーマンスと有効性を監視、測定、分析、評価する必要があります。これには、監視および測定する必要がある内容、その方法、監視および測定をいつ、誰が実行するか、結果をいつ分析および評価するか、分析および評価から生じるアクションを確実に実行する責任者を決定することが含まれます 1。
SunDee はこの要件を遵守しておらず、過去 2 年間、ISMS のパフォーマンスと有効性を監視または測定していませんでした。その結果、同社は情報セキュリティ目標の達成、管理の有効性、利害関係者の満足度、リスクの特定と処理を示す客観的な証拠や指標を持っていませんでした。これはまた、9.3 項で要求されているように、ISMS の定期的な管理レビューを同社が実施していないことを意味します。このレビューは、経営陣が ISMS の継続的な適合性、妥当性、有効性を確認し、必要な変更や改善を決定する機会を提供します 1。
再認証監査の直前に、会社は条項の規定に従って内部監査を実施することを決定した。
9.2 は、監査証拠を入手し、それを客観的に評価して、監査基準 1 がどの程度満たされているかを判断するための、体系的かつ独立した文書化されたプロセスです。しかし、この会社には明確に定義された監査プログラム、範囲、基準、または方法論がなく、過去 2 年間、スタッフの書面によるレポートに依存していました。これにより、ほとんどのスタッフが自分の部門のレポートをまとめる必要があり、生産部門の人員が最適数を下回ったため、労働力に混乱が生じ、会社の在庫が減少しました。さらに、レポートが異なる従業員によって異なるスタイル、形式、詳細レベルで作成されていたため、内部監査プロセスは非常に一貫性がありませんでした。内部監査プロセスには、ISMS のパフォーマンスと有効性を評価するためのパフォーマンス指標、測定基準、ベンチマークなどの定性的な尺度もありませんでした。
したがって、サンディーの労働力の混乱の原因は、業績評価と監視および測定手順の怠慢であり、それが客観的な証拠の欠如、内部監査の計画と実行の不備、そして会社の生産性と株価の低下につながりました。
参考文献: 1: ISO/IEC 27001:2013、情報技術 - セキュリティ技術 - 情報セキュリティ管理システム - 要件