リスク対応と情報セキュリティ目的の関係
皆さん、こんにちは。
(株)マネジメント総研の小山です。
今回は、ISMS(情報セキュリティマネジメントシステム)における「リスク対応」と「情報セキュリティ目的」の関係について掘り下げます。
要点は以下のとおりです。
・「リスク対応」は「情報セキュリティ目的」の達成につながる活動である。
・事業運営の中で行われる「課題管理」は、「リスクアセスメント」であり、
「リスク対応」である。
・「課題管理」について、規格との関係を整理し、不足を補えば、
規格準拠性を確保しつつ、実務に則した動的なリスク管理が可能となる。
それでは、詳しく見ていきましょう。
(1) 「リスク対応」は「情報セキュリティ目的」の達成に
つながる活動である。
ISMS認証の審査基準である「ISO/IEC 27001」規格は、2005年に初版が発行され、2013年に第2版として改正されています。
この改正の際に、リスクマネジメント部分に関しては、「ISO 31000(リスクマネジメント-原則及び指針)」規格との整合が図られました。
これにより、「ISO/IEC 27001」規格における“リスク”の定義も以下のように変更されました。
・2005年版:事象の発生確率と事象の結果との組み合わせ
・2013年版:目的に対する不確かさの影響
“リスク”は“目的”との関係で定義されることとなったわけです。
すなわち、情報セキュリティに関する「リスク対応」は「情報セキュリティ目的」の達成につながる活動である、ということが明確にされたことを意味します。
当たり前といえば当たり前なのですが、大事なポイントだと考えます。
「リスクがあるから手を打つ」という根底には「そもそもの目的」があるはずですが、それがいつしか忘れ去られ、「手を打つこと自体」に焦点が当たりすぎるきらいがあります。
それを忘れないようにするという観点からも、“リスク”が“目的”との関係で定義された意義は大きいと考えます。
(2) 事業運営の中で行われる「課題管理」は、
「リスクアセスメント」であり、「リスク対応」である。
(1)では、“「リスク対応」は「情報セキュリティ目的」の達成につながる活動である”ことを確認しました。
では「情報セキュリティ目的」とは何でしょうか?
簡単に言えば、
「何のために情報セキュリティに取組むのか?」
ということです。
なお、規格では、関連する部門及び階層において確立することが要求されています。
従って、「何のために?」は、状況に応じて分解され得るものと言えます。
では、情報セキュリティの「リスク」とは何か?
例えば、「情報セキュリティ目的」として“情報セキュリティの取組みを通じてサービス品質を向上し顧客の信頼を得る”ことが掲げられていたとします。
“リスク”とは“目的に対する不確かさの影響”ですので、この場合のリスクは、“サービス品質の不良により、情報セキュリティ目的が達成できなくなる事態を招くこと”などが想定されます。
「起こりやすさはどうか?」「起こった場合の影響はどうか?」ということを踏まえ、対処要否、対処優先度を決めて取組むこととなりますが、いわゆる「リスクアセスメントシート」を使って年に1回とか変化があった際に行うリスクアセスメント及びリスク対応の手順で十分に管理できるでしょうか?
難しいですよね。
ではどうやって管理するのか?
どうやって管理するのか、というよりも
どうやって管理しているのか?というのが正しいかもしれません。
大きなものは経営会議や幹部会かもしれません。
小さなものは不定期のミーティングかもしれません。
いずれにしても日々の事業活動の中で管理されているのではないでしょうか。
その際、「リスク」という言葉ではなく「課題」という言葉が使われているのではないでしょうか。
会議体等で行われている「課題管理」です。
会議の中では、課題について話し合われ、対応方針が決められ、次の会議の場で対応状況が報告されたりしているはずです。
また、複数課題があれば、影響度等をもとに優先順位がつけられているはずです。
これは、「情報セキュリティ目的」の達成を妨げるリスクのアセスメントであり、リスク対応に当たると考えられます。
(3) 「課題管理」について、規格との関係を整理し、
不足を補えば、規格準拠性を確保しつつ、
実務に則した動的なリスク管理が可能となる。
「課題管理」を「リスクアセスメント及びリスク対応」として捉えることは、規格のリスクの定義から外れていません。
しかし、すでに機能している「課題管理」がそのままで規格要求事項を満たすか?という観点では十分でない可能性があります。
そこで、すでに機能している「課題管理」を規格の要求事項に照らして確認し、ギャップを把握することが肝要です。
規格が要求しているリスクアセスメント、リスク対応について、課題管理でカバーしている部分はどこまでか、不足している部分は別のどこかで実施していないか、を確認するのです。
そして規格要求事項をカバーしきれていない部分を仕組み化すれば良いのです。
当然、リスクマネジメント上の欠損部分を仕組み化することは、「情報セキュリティ目的」達成の確実性を高めることにつながると考えられます。
なお、いわゆる「リスクアセスメントシート」を用いたアセスメント及びリスク対応は、ISMSの取組み初期には大きな効果を発揮するものです。
従って、「課題管理」をISMSのリスクマネジメントの中心に据えるのは、ISMSの運用に慣れた頃が妥当ではないかと考えます。
ただ、事業活動の中にリスクマネジメントを一体化できるので、実務に則した動的なリスク管理が可能となり、効果的な仕組みとなることが期待できます。
また、2012年以降に制定または改正されるISO規格には、「リスク及び機会への取組み」に関する要求事項が含まれる形となっておりますので、ISMSに限らず、他のマネジメントシステム規格でも同様に当てはめられる話だと考えます。
ということで、今回は「リスク対応と情報セキュリティ目的の関係」についてお話させていただきました。
ご参考になれば幸いです。
(株)マネジメント総研の小山です。
今回は、ISMS(情報セキュリティマネジメントシステム)における「リスク対応」と「情報セキュリティ目的」の関係について掘り下げます。
要点は以下のとおりです。
・「リスク対応」は「情報セキュリティ目的」の達成につながる活動である。
・事業運営の中で行われる「課題管理」は、「リスクアセスメント」であり、
「リスク対応」である。
・「課題管理」について、規格との関係を整理し、不足を補えば、
規格準拠性を確保しつつ、実務に則した動的なリスク管理が可能となる。
それでは、詳しく見ていきましょう。
(1) 「リスク対応」は「情報セキュリティ目的」の達成に
つながる活動である。
ISMS認証の審査基準である「ISO/IEC 27001」規格は、2005年に初版が発行され、2013年に第2版として改正されています。
この改正の際に、リスクマネジメント部分に関しては、「ISO 31000(リスクマネジメント-原則及び指針)」規格との整合が図られました。
これにより、「ISO/IEC 27001」規格における“リスク”の定義も以下のように変更されました。
・2005年版:事象の発生確率と事象の結果との組み合わせ
・2013年版:目的に対する不確かさの影響
“リスク”は“目的”との関係で定義されることとなったわけです。
すなわち、情報セキュリティに関する「リスク対応」は「情報セキュリティ目的」の達成につながる活動である、ということが明確にされたことを意味します。
当たり前といえば当たり前なのですが、大事なポイントだと考えます。
「リスクがあるから手を打つ」という根底には「そもそもの目的」があるはずですが、それがいつしか忘れ去られ、「手を打つこと自体」に焦点が当たりすぎるきらいがあります。
それを忘れないようにするという観点からも、“リスク”が“目的”との関係で定義された意義は大きいと考えます。
(2) 事業運営の中で行われる「課題管理」は、
「リスクアセスメント」であり、「リスク対応」である。
(1)では、“「リスク対応」は「情報セキュリティ目的」の達成につながる活動である”ことを確認しました。
では「情報セキュリティ目的」とは何でしょうか?
簡単に言えば、
「何のために情報セキュリティに取組むのか?」
ということです。
なお、規格では、関連する部門及び階層において確立することが要求されています。
従って、「何のために?」は、状況に応じて分解され得るものと言えます。
では、情報セキュリティの「リスク」とは何か?
例えば、「情報セキュリティ目的」として“情報セキュリティの取組みを通じてサービス品質を向上し顧客の信頼を得る”ことが掲げられていたとします。
“リスク”とは“目的に対する不確かさの影響”ですので、この場合のリスクは、“サービス品質の不良により、情報セキュリティ目的が達成できなくなる事態を招くこと”などが想定されます。
「起こりやすさはどうか?」「起こった場合の影響はどうか?」ということを踏まえ、対処要否、対処優先度を決めて取組むこととなりますが、いわゆる「リスクアセスメントシート」を使って年に1回とか変化があった際に行うリスクアセスメント及びリスク対応の手順で十分に管理できるでしょうか?
難しいですよね。
ではどうやって管理するのか?
どうやって管理するのか、というよりも
どうやって管理しているのか?というのが正しいかもしれません。
大きなものは経営会議や幹部会かもしれません。
小さなものは不定期のミーティングかもしれません。
いずれにしても日々の事業活動の中で管理されているのではないでしょうか。
その際、「リスク」という言葉ではなく「課題」という言葉が使われているのではないでしょうか。
会議体等で行われている「課題管理」です。
会議の中では、課題について話し合われ、対応方針が決められ、次の会議の場で対応状況が報告されたりしているはずです。
また、複数課題があれば、影響度等をもとに優先順位がつけられているはずです。
これは、「情報セキュリティ目的」の達成を妨げるリスクのアセスメントであり、リスク対応に当たると考えられます。
(3) 「課題管理」について、規格との関係を整理し、
不足を補えば、規格準拠性を確保しつつ、
実務に則した動的なリスク管理が可能となる。
「課題管理」を「リスクアセスメント及びリスク対応」として捉えることは、規格のリスクの定義から外れていません。
しかし、すでに機能している「課題管理」がそのままで規格要求事項を満たすか?という観点では十分でない可能性があります。
そこで、すでに機能している「課題管理」を規格の要求事項に照らして確認し、ギャップを把握することが肝要です。
規格が要求しているリスクアセスメント、リスク対応について、課題管理でカバーしている部分はどこまでか、不足している部分は別のどこかで実施していないか、を確認するのです。
そして規格要求事項をカバーしきれていない部分を仕組み化すれば良いのです。
当然、リスクマネジメント上の欠損部分を仕組み化することは、「情報セキュリティ目的」達成の確実性を高めることにつながると考えられます。
なお、いわゆる「リスクアセスメントシート」を用いたアセスメント及びリスク対応は、ISMSの取組み初期には大きな効果を発揮するものです。
従って、「課題管理」をISMSのリスクマネジメントの中心に据えるのは、ISMSの運用に慣れた頃が妥当ではないかと考えます。
ただ、事業活動の中にリスクマネジメントを一体化できるので、実務に則した動的なリスク管理が可能となり、効果的な仕組みとなることが期待できます。
また、2012年以降に制定または改正されるISO規格には、「リスク及び機会への取組み」に関する要求事項が含まれる形となっておりますので、ISMSに限らず、他のマネジメントシステム規格でも同様に当てはめられる話だと考えます。
ということで、今回は「リスク対応と情報セキュリティ目的の関係」についてお話させていただきました。
ご参考になれば幸いです。