ISMSユーザーズガイド-リスクマネジメント編-
皆さん、こんにちは。
(株)マネジメント総研の小山です。
JIPDEC(日本情報経済社会推進協会)より、2015年3月31日付で、「ISMSユーザーズガイド-JIS Q 27001:2014(ISO/IEC 27001:2013)対応--リスクマネジメント編-」が発行されました。
これは、「ISMSユーザーズガイド(※)」を補足し、リスクアセスメント及びその結果に基づくリスク対応についての理解を深めるために必要な事項について、例を挙げて解説されているものです。
※ISMS(情報セキュリティマネジメントシステム)認証基準
(JIS Q 27001:2014)の要求事項について一定の範囲で
その意味するところを説明しているガイド。
「ISMSユーザーズガイド-リスクマネジメント編-」は新規発行ではなく、これまでも存在したガイドであり、「JIS Q 27001(ISO/IEC 27001)」の改正に伴い改訂されたという位置づけとなります。
今回の改訂の特徴的な部分としては、「ISO/IEC 27001」の改正がそうであったように、リスクマネジメントの部分が「ISO 31000:2009(リスクマネジメント-原則及び指針)」に準拠した形で示されていることが挙げられます。
このため、ガイドラインの章立てについても、以下のとおり大きく変わりました。
【新版(JIP-ISMS113-3.0)】
1.序文
1.1 本ガイドの位置付け
1.2 リスク全般
1.3 ISMS構築ステップとリスクアセスメント、リスク対応、リスク受容
2.リスクマネジメントを取り巻く状況
2.1 組織の状況
2.2 情報セキュリティ方針及びリスク基準を決定する
2.2.1 情報セキュリティ方針
2.2.2 情報セキュリティ方針の策定
2.2.3 情報セキュリティ方針の策定事例
2.2.4 リスク評価基準とリスク基準
3.情報セキュリティリスクアセスメントとリスク対応
3.1 作業の流れ
3.2 情報セキュリティリスクアセスメント
3.2.1 作業1 リスクアセスメントの取組方法を定義する
3.2.2 作業2 リスクを特定する
3.2.3 作業3 リスクを分析する
3.2.4 作業4 リスクを評価する
3.3 情報セキュリティリスク対応
3.3.1 作業5 リスク対応を行う
3.3.2 作業6 リスク対応の選択肢に対する管理策を決定する、
及び附属書Aとの比較
3.3.3 作業7 適用宣言書を作成する
3.3.4 作業8 情報セキュリティリスク対応計画を作成する
3.3.5 作業9 残留リスクを承認する
4.パフォーマンス評価
【旧版(JIP-ISMS113-2.1)】
1.序文
1.1 本ガイドの位置付け
1.2 リスク全般
1.3 ISMS構築ステップとリスクアセスメント、リスク対応、リスク受容
2.情報セキュリティマネジメントシステム
2.1 ISMSの確立と運用管理
2.2 ISMSの確立(Plan-計画)
2.2.1 STEP3 リスクアセスメントの取組方法を定義する
2.2.2 STEP4 リスクを特定する
2.2.3 STEP5 リスクを分析し評価する
2.2.4 STEP6 リスク対応を行う
2.2.5 STEP7 管理目的と管理策を選択する
2.2.6 STEP8 残留リスクを承認する
2.2.7 STEP9 ISMSの導入・運用を許可する
2.2.8 STEP10 適用宣言書を作成する
2.3 ISMSの導入及び運用(Do-実行)
2.3.1 STEP1 リスク対応計画の策定
2.3.2 STEP2 経営陣による資源の割り当て
2.3.3 STEP3 リスク対応計画の実施
2.3.4 STEP4 管理策の実施と有効性測定
2.3.5 STEP5 教育・訓練の実施
2.3.6 STEP6 運用の管理
2.3.7 STEP7 経営資源の管理
2.3.8 STEP8 セキュリティインシデントへの対応
2013年に改正された「ISO/IEC 27001」は、情報セキュリティのリスクマネジメント部分について、リスクマネジメントのISOである「ISO 31000」との整合を図るように改正されました。
今回のユーザーズガイド改訂版は、その情報セキュリティのリスクマネジメント部分について、「ISO 31000」をどのように当てはめて考えれば良いかが理解できるように配慮したつくりとなっていることから、参考になると考えます。
また、これまで“資産”に注目し、その資産に対する“脅威”や“脆弱性”を考慮したリスクアセスメントに焦点が絞られていましたが、改訂版では、リスクアセスメントの方法が汎用的になったことを受け、「プロセスベースの情報セキュリティリスクアセスメント方法」の例についても新たに示されました。
従来と別の視点でのリスクアセスメント方法が、公式なガイドに掲載された意義は大きいと考えます。
これを皮切りに、“効果を出す”という視点で、多様なリスクアセスメント方法が試され、洗練されていくと良いなあと思う次第です。
(もちろん、自身も引き続き試行錯誤して最適解を探究していきます)
ということで、今回は、「ISMSユーザーズガイド-リスクマネジメント編-」についてご紹介いたしました。
このガイドは、以下のサイトから申込めば入手することができます。
ぜひ手に取ってご確認ください。
▼「ISMSユーザーズガイド-JIS Q 27001:2014(ISO/IEC 27001:2013)対応-
-リスクマネジメント編-」
http://www.isms.jipdec.or.jp/std/index.html
(株)マネジメント総研の小山です。
JIPDEC(日本情報経済社会推進協会)より、2015年3月31日付で、「ISMSユーザーズガイド-JIS Q 27001:2014(ISO/IEC 27001:2013)対応--リスクマネジメント編-」が発行されました。
これは、「ISMSユーザーズガイド(※)」を補足し、リスクアセスメント及びその結果に基づくリスク対応についての理解を深めるために必要な事項について、例を挙げて解説されているものです。
※ISMS(情報セキュリティマネジメントシステム)認証基準
(JIS Q 27001:2014)の要求事項について一定の範囲で
その意味するところを説明しているガイド。
「ISMSユーザーズガイド-リスクマネジメント編-」は新規発行ではなく、これまでも存在したガイドであり、「JIS Q 27001(ISO/IEC 27001)」の改正に伴い改訂されたという位置づけとなります。
今回の改訂の特徴的な部分としては、「ISO/IEC 27001」の改正がそうであったように、リスクマネジメントの部分が「ISO 31000:2009(リスクマネジメント-原則及び指針)」に準拠した形で示されていることが挙げられます。
このため、ガイドラインの章立てについても、以下のとおり大きく変わりました。
【新版(JIP-ISMS113-3.0)】
1.序文
1.1 本ガイドの位置付け
1.2 リスク全般
1.3 ISMS構築ステップとリスクアセスメント、リスク対応、リスク受容
2.リスクマネジメントを取り巻く状況
2.1 組織の状況
2.2 情報セキュリティ方針及びリスク基準を決定する
2.2.1 情報セキュリティ方針
2.2.2 情報セキュリティ方針の策定
2.2.3 情報セキュリティ方針の策定事例
2.2.4 リスク評価基準とリスク基準
3.情報セキュリティリスクアセスメントとリスク対応
3.1 作業の流れ
3.2 情報セキュリティリスクアセスメント
3.2.1 作業1 リスクアセスメントの取組方法を定義する
3.2.2 作業2 リスクを特定する
3.2.3 作業3 リスクを分析する
3.2.4 作業4 リスクを評価する
3.3 情報セキュリティリスク対応
3.3.1 作業5 リスク対応を行う
3.3.2 作業6 リスク対応の選択肢に対する管理策を決定する、
及び附属書Aとの比較
3.3.3 作業7 適用宣言書を作成する
3.3.4 作業8 情報セキュリティリスク対応計画を作成する
3.3.5 作業9 残留リスクを承認する
4.パフォーマンス評価
【旧版(JIP-ISMS113-2.1)】
1.序文
1.1 本ガイドの位置付け
1.2 リスク全般
1.3 ISMS構築ステップとリスクアセスメント、リスク対応、リスク受容
2.情報セキュリティマネジメントシステム
2.1 ISMSの確立と運用管理
2.2 ISMSの確立(Plan-計画)
2.2.1 STEP3 リスクアセスメントの取組方法を定義する
2.2.2 STEP4 リスクを特定する
2.2.3 STEP5 リスクを分析し評価する
2.2.4 STEP6 リスク対応を行う
2.2.5 STEP7 管理目的と管理策を選択する
2.2.6 STEP8 残留リスクを承認する
2.2.7 STEP9 ISMSの導入・運用を許可する
2.2.8 STEP10 適用宣言書を作成する
2.3 ISMSの導入及び運用(Do-実行)
2.3.1 STEP1 リスク対応計画の策定
2.3.2 STEP2 経営陣による資源の割り当て
2.3.3 STEP3 リスク対応計画の実施
2.3.4 STEP4 管理策の実施と有効性測定
2.3.5 STEP5 教育・訓練の実施
2.3.6 STEP6 運用の管理
2.3.7 STEP7 経営資源の管理
2.3.8 STEP8 セキュリティインシデントへの対応
2013年に改正された「ISO/IEC 27001」は、情報セキュリティのリスクマネジメント部分について、リスクマネジメントのISOである「ISO 31000」との整合を図るように改正されました。
今回のユーザーズガイド改訂版は、その情報セキュリティのリスクマネジメント部分について、「ISO 31000」をどのように当てはめて考えれば良いかが理解できるように配慮したつくりとなっていることから、参考になると考えます。
また、これまで“資産”に注目し、その資産に対する“脅威”や“脆弱性”を考慮したリスクアセスメントに焦点が絞られていましたが、改訂版では、リスクアセスメントの方法が汎用的になったことを受け、「プロセスベースの情報セキュリティリスクアセスメント方法」の例についても新たに示されました。
従来と別の視点でのリスクアセスメント方法が、公式なガイドに掲載された意義は大きいと考えます。
これを皮切りに、“効果を出す”という視点で、多様なリスクアセスメント方法が試され、洗練されていくと良いなあと思う次第です。
(もちろん、自身も引き続き試行錯誤して最適解を探究していきます)
ということで、今回は、「ISMSユーザーズガイド-リスクマネジメント編-」についてご紹介いたしました。
このガイドは、以下のサイトから申込めば入手することができます。
ぜひ手に取ってご確認ください。
▼「ISMSユーザーズガイド-JIS Q 27001:2014(ISO/IEC 27001:2013)対応-
-リスクマネジメント編-」
http://www.isms.jipdec.or.jp/std/index.html