10年前に欲しい本でした

2004年からISMSに携わってきましたが、
「10年前にこの本があったら」と多少の忸怩たる思いとともに読み進めています。

ISMS27001に書かれている要求事項は結果的な要求であって、
それをどう構築すれば良いか、
そしてなぜ必要なのかは書かれていません。

本書の「コンサルタントの起用と使い方」に試行錯誤による手戻りなどにも言及していますが、
筆者らがコンサルタントとしての経験を十分に反映した内容であることが分かります。

この本は「どうすべきか」、
「何故なのか」が説得力ある平易な文章で述べられています。

長い間、
私の感じていた疑問は「防ぎようのないヒューマンエラーや悪意によるインシデント」と「いつの間にか欠落してしまうトップマネージメント」でした。

情報セキュリティは「人」でありICTではないと、
ヒューマンファクタ理論を踏まえてマネジメントシステムの重要性を説いています。

また、
ビジネスチャンス（機会）を追求するトップマネジメントには、
同時にこれに関わるリスクへの責務を突きつけています。

インシデントを恐れてのISMSの導入は力弱く、
戦略的なISMSの導入の動機にはトップマネジメントが強力な関与必要なのでしょう。

リスクに関しては「目的に対する不確かさの影響」と定義され、
今回の改定で最も理解の難しい部分でした。

本書では、
十数ページで簡潔に事例も含め、
見事に解説しています。

導入と運用に関しては仮想会社を例に、
体制、
導入の準備から認証の取得まで具体的に書かれています。

特に「パフォーマンス」と「有効性」については難解と思われがちで、
忘れがちな言葉なのでしたがあっけなく理解できました。

本書のコストパフォーマンスを身をもって知りました。