情報セキュリティの「見える化」
最近、○○の「見える化」という見出しが目立ちますが、
ISMSの有効性評価がまさにその「見える化」ですね。
これまではリスクアセスメントを実施して、
そのリスクを低減するための管理策を適用して、
後はPDCAサイクルを回すことにより維持管理する。
これで良かったのですが。。。
情報セキュリティの「見える化」を実施するためは、
管理策の有効性を測るための秤が必要になってきます。
IPAからその指標が出ていますので参考にしてみてください。
http://www.ipa.go.jp/security/fy15/development/metrics/documents/metrics_guideline.pdf
もしそれが難しければまずは各々のプロセスの監視のために
身近なデータを収集してそれを比較検討することからはじめましょう。
例えば、情報セキュリティインシデントの収集プロセスでは、
インシデントの発生量やその解決時間、または予兆を測ってもいいですね。
とにかくどんなデータを収集することが可能か検討してみてください。
そこからどんなことが読み取れるかそれが「見える仮」のはじまりですね!