情報セキュリティ目的から見るISMS | 京都で働くコンサルタントのブログ
2014-04-01 06:25:35

情報セキュリティ目的から見るISMS

テーマ:情報セキュリティマネジメント
皆さん、こんにちは。
(株)マネジメント総研の小山です。

3月20日に、「ISO/IEC 27001:2013」をもとにした日本工業規格である「JIS Q 27001:2014」が発行されました。

この規格は「ISMS(情報セキュリティマネジメントシステム)認証」の審査基準として用いられるもので、2005年版からの改正版となります。

今回は改正版を理解し有効に機能させるためのポイントとして、“情報セキュリティ目的”を軸にISMSを考える、ことをご紹介します。

「JIS Q 27001:2014」の“0.1 概要”には、“ISMSは、リスクマネジメントプロセスを適用することによって情報の機密性、完全性及び可用性を維持し、かつ、リスクを適切に管理しているという信頼を利害関係者に与える”と記載されています。

つまり、「JIS Q 27001(ISO/IEC 27001)」とは、情報セキュリティの“リスクマネジメント”の規格であると言えます。


リスクとは、“目的に対する不確かさの影響”と定義されています。

従って、リスクマネジメントとは、“目的に対する不確かさの影響”をマネジメントすること、すなわち、“目的達成のためのマネジメント”であり、“情報セキュリティの「リスクマネジメント」”とは、“「情報セキュリティ目的」の達成のためのマネジメント”と言い換えることができます。


そこで、“情報セキュリティ目的”が「JIS Q 27001:2014」でどのように規定されているかを見てみましょう。

登場箇所は以下の5箇所です。
5.1 リーダーシップ及びコミットメント
5.2 方針
6.2 情報セキュリティ目的及びそれを達成するための計画策定
8.1 運用の計画及び管理
9.3 マネジメントレビュー



5.1」では、トップマネジメントによる“情報セキュリティ目的”の確立が要求されています。

5.2」では、トップマネジメントが情報セキュリティ方針を確立する際、方針に“情報セキュリティ目的”を含むか、または方針により、“情報セキュリティ目的”の設定のための枠組みを示すこと、が要求されています。

6.2」では、次の事項を満たすように“情報セキュリティ目的”を確立することが要求されています。
・情報セキュリティ方針と整合している
・(実行可能な場合)測定可能である
・適用される情報セキュリティ要求事項、並びにリスクアセスメント
 及びリスク対応の結果を考慮に入れる


さらに、“情報セキュリティ目的”を達成するための計画として、次の事項を決定することが要求されています。
・実施事項
・必要な資源
・責任者
・達成期限
・結果の評価方法


8.1」では、“情報セキュリティ目的”を達成するための計画を実施することが要求されています。

9.3」では、マネジメントレビュー時に、“情報セキュリティ目的”の達成結果をインプットすることが要求されています。


この5つの内容を見ても、トップマネジメントが、組織における情報セキュリティ方針と整合する“情報セキュリティ目的”を明確に示し、それを達成するための計画を立て、実施し、その達成結果を次の改善につなげていく、という仕組みであることが読み取れます。


また、「6.1」の“リスク及び機会に対処する活動”、“情報セキュリティリスクアセスメント”及び“情報セキュリティリスク対応”も、“情報セキュリティ目的”に対して実施することが求められており、「9.1」の“情報セキュリティパフォーマンス及びISMSの有効性評価”も、“情報セキュリティ目的”の達成結果の評価が求められていると捉えることができます。


このように、“情報セキュリティ目的”を軸に規格の要求事項を見ることで、各要求事項への個別対応ではなく、組織が達成したい“情報セキュリティ目的”を確実に達成する(あるいは、ある時点では達成できなくても、改善を重ねることにより達成できるようにする)ための仕組みとして、ISMSを活かしていくことが可能となると考えます。


ぜひ、これを参考に、経営に役立つISMSを構築・運用していただければと思います。



株式会社マネジメント総研さんをフォロー

ブログの更新情報が受け取れて、アクセスが簡単になります

Ameba人気のブログ

Amebaトピックス