ISO 27001 10 改善
10 改善 はISMSが継続して有効であるために、是正処置などで改善を行うことを要求する。
10.1 不具合及び是正処置 / 10.2 継続的改善 が含まれる。
10.1 不具合及び是正処置では、不具合発生時に是正処置の実施を要求している。
是正処置は、再発防止として以下の4つを満たす必要がある。
1, 修正と結果への対処
2, 不具合の原因調査
3, 是正処置の実施と有効性の確認
4, 是正処置の実施記録の作成
本記事では、ヒューマンエラーが起きた際の是正処置として、情報処理学会研究報告の
「企業のセキュリティ対策におけるヒューマンエラー管理実践に向けた検討」を参考に、
4STEP/Mとm-SHELによる対策立案手法を紹介する。
4STEP/M
4STEP/Mは、医療分野において、ヒューマンエラーによる影響を低減するための対策を考える時に用いられる手法である。
以下のPDFに分かりやすくまとめられている。
4STEP/Mでは、ヒューマンエラーの対策を4つのステップに分け、ステップごとに対策立案を行う。
m-SHEL
m-SHELとは、製造現場などで用いられる、ヒューマンエラーの背後要因を洗い出すためのフレームワークである。
m-SHELでは、エラー要因をManagement, Software, Hardware, Environment, Livewares に分け分析する。
風土、組織を変える(m), 手順・表示を変える(S), 設備を変える(H), 作業環境を変える(E), 人による支援体制を変える(L)
の5項目の変更で対策立案を行っていく。
4STEP/M + m-SHEL
論文より、メール誤送信を仮想の事例として、4STEP/Mとm-SHELを用いて対策を図表化する例を示す。
画像は 富樫由美子, 佐藤嘉則, 藤井康広, (2009) 「企業のセキュリティ対策におけるヒューマンエラー管理実践に向けた検討」より引用
対策が網羅的であり、対策の目的と対象が共有しやすくなっている。
また、4STEP/Mで示された目標に対し、m-SHELでの多角的な対策が立案されている。
参考