出版
組織内でポリシーを作成し、実装する努力をしてきましたが、それらが確実に施行され、利用されているかどうかをどのように確認すればよいでしょうか?そこで、ポリシー監査が役立ちます。Tom Mochalがその仕組みを説明します。
多くのIT組織はポリシー策定は得意ですが、
従業員にポリシーを遵守させる能力にばらつきがあります。
組織がポリシーを強制適用できることは重要です。ポリシーが
作成・承認するほど重要であれば、強制適用するほど重要です。実際、
私はマネージャーにガバナンスプロセス(標準とポリシーを強制適用する能力)について指導する際に、
「ポリシーを強制適用する準備ができていないのであれば、そもそもポリシーを作成する意味がない」
と伝えています。
組織が
定義したポリシーを遵守していることを確認する最良の方法は、ポリシー監査を実施することです。一見すると、ポリシー監査は
難しそうに思えるかもしれません。しかし、実際にはそれほど難しくはありません。以下の簡単な手順に従って
監査を実施し、ITポリシーが遵守されていることを確認してください。
ポリシーを棚卸ししましょう。ポリシーの内容が明確でなければ、ポリシー監査を行うことはできません
。まず最初に、
IT組織内のすべてのポリシーを棚卸しする必要があります。- 最も重要なポリシーを選択し、さらにいくつか選択します。
- 各ポリシーの事業主と話し合いましょう。まずは
各ポリシーの事業主を特定し、各ポリシーについて話し合いましょう。 - 自動適用を検証します。ポリシーの所有者に、
ポリシーが確実に遵守されるような適用メカニズムがあるかどうかを尋ねます。
例えば、すべての受信メールにウイルススキャンを実行するポリシーがあるとします。
メール担当グループと話し合うと、
このグループがメールサーバーを所有し、
すべての受信メールを確実にスキャンできるため、このポリシーは体系的に適用可能であることがわかるかもしれません。グループがポリシーを体系的に適用できる場合
、すべてのインスタンスでポリシーが適用されていることを証明する必要があります
。証明できれば、そのポリシーは問題ありません。
すべてのインスタンスでポリシーが適用されていることを検証できない場合は、このポリシーは
更なる精査が必要なポリシーとして文書化します。 - 残りの
ポリシーは手動で監査してください。ほとんどのポリシーは体系的に適用できません
。ポリシーの所有者と協力して、ポリシーが遵守されていることを検証する最適な方法を検討してください
。ポリシーによっては、
様々な方法があります。例えば、 以下のようなものがあります。
生産回転率ポリシーを検証するために、25 件の回転率事例の書類を参照できます。- テレワーク ポリシーでは、
5 人のテレワーカーを特定し、そのワーカーとそのマネージャーにインタビューすることが必要になる場合があります。
会社全体の20 台のワークステーションを横断的に分析して、ワークステーション
ポリシーが遵守されているかどうかを判断できます。
- 全体的な結論を準備する。
個々の監査をすべて完了したら、全体的な結論を導き出すことができます
。例えば、個々のポリシー監査の結果
がすべて概ね良好(完璧ではないかもしれませんが、概ね良好)
であれば、CIOはポリシーが概ね遵守されていると確信できるはずです
。一方、特定の監査の大部分の結果が不良だった場合、
CIOはポリシー全般が遵守されていないことを懸念する理由があるはずです。ポリシーが遵守されていない理由を
特定するために、フォローアップが必要となり、組織が定義されたポリシーを確実に遵守するための行動計画を策定する必要があります。
インベントリ内のすべてのポリシーを監査することもできますが、必ずしもそうする必要はありません。
メールポリシー、インターネット利用ポリシー、ハードウェア調達ポリシーなど、自分にとって重要なポリシーを厳選してください
。それから、ある程度ランダムに、さらにいくつかのポリシーを選定します
。両方を選定する理由は、
最も重要なポリシーが遵守されていることを確認するだけでなく、組織が重要なポリシーだけでなく、すべてのポリシーを遵守しているかどうかを確認するために、他のポリシーもチェックする必要がある
からです。
組織が文書化されたポリシーに準拠しているかどうかを総合的に判断するために、すべてのポリシーとすべてのインスタンスを監査する必要はありません
。このポリシー監査の結果に基づいて、
組織のポリシー遵守状況が適切であるか、あるいは
さらなる改善が必要かを判断できます。
トム・モカル
