ISO取得・コンサルティングサービス 帝国データバンクネットコミュニケーション
ISO27001、ISO9001、ISO14001、プライバシーマーク等のご取得は、
株式会社帝国データバンクネットコミュニケーションにお任せください。
帝国データバンクネットコミュニケーション
岡崎 弘明
■リスク評価
前回に引き続き、ISO27001の具体的構築について述べる。前回は、情報セキュリティ上、社内で守るべき情報資産はどんなものがあるのかという「情報資産の洗い出し」と、おのおのの資産の重要性を点数化する「資産評価」の進め方について記した。さらに、それぞれの情報資産がどのような脅威にさらされているか、そのインパクトを点数化するという「脅威分析」を行い、あわせてそれらの脅威への対策の度合いを点数化する「ぜい弱性分析」について述べた。
ここで算出された3種類の点数=「資産評価」、「脅威評価」、「ぜい弱性評価」を掛け合わせると、リスク値が出てくる。
リスク値=「資産の評価点」×「脅威の評価点」×「ぜい弱性の評価点」
これで、社内における情報それぞれのリスクが点数という形で可視化され、どこまで対策をとるべきか、どういった対策を立てるべきかが具体的に分かるようになるのである。
ここまでが前回の説明であったが、続いてリスクの受容レベルの決定を行う。
■リスク受容レベルの決定
すべてのリスクをゼロにすることは現実的ではなく、そもそも不可能な話だ。軽いリスクであれば、そのリスクを抱えたまま事業を進めることもやむなしであり、あまりリスクをつぶすことばかりに気を取られると、ヒト・モノ・カネといった社内リソースが食われ、経営に悪影響が出る。これが「リスクの受容」と言われるものだが、どこまで受容するのかを定量的に判断する際に、前述のリスク値が用いられる。
たとえば、リスク値を構成する3要素(「資産評価」、「脅威評価」、「ぜい弱性評価」)の点数を3段階とした場合、リスク値は、以下のように1点(1×1×1)〜27点(3×3×3)まで並ぶこととなる。
ここで、何点以下のリスクを受容するのか 決めるわけだが、取引先からの要求やコスト、事業への影響など様々な角度から検討し、決定する必要がある。
リスク受容レベルが上がれば、コストや手間はかからないが、より多くのリスクが残る
リスク受容レベルが下がれば、コストや手間はかかるが、リスクは減る
■リスクへの対応
たとえば8点以下をリスク受容とした場合、9点〜27点のリスク(上図の斜線部分)については容認できないことになる。何らかの対応が必要となるが、以下の3つの手法で対処していく。
- リスク低減
ISO27001規格で記された管理策(情報セキュリティ対策)を講じるなどして、そのリスク値を減少させるものである。詳細は後述。 - リスク移転
業務委託や保険などの活用により、リスクを他社(他者)に移すことである。リスクそのものは変化しないが、他へ移転することにより、結果としてリスクを軽減(あるいは消滅/変化)させることができる。 - リスク回避
脅威発生の要因そのものを停止、もしくはまったく別の方法に変更することにより、リスク発生の可能性を取り去ることである。たとえば、リスクの多い事業そのものを取りやめてしまう、あるいは情報資産を破棄してしまうなどの措置である。
■実施すべき管理策を選択
前段で述べた「リスク低減」のための管理策の検討である。
それぞれの情報資産のリスクに対して、ISO27001で記された詳細管理策133個から適当なものを選択することになる。これは、ISMS構築を実際の運用レベルに移行するための重要な過程となる。
選択する詳細管理策は、以下の11個のカテゴリーに分けられている。
- セキュリティ基本方針
- 情報セキュリティのための組織
- 資産の管理
- 人的資源のセキュリティ
- 物理的及び環境的セキュリティ
- 通信及び運用管理
- アクセス制御
- 情報システムの取得、開発及び保守
- 情報セキュリティインシデント管理
- 事業継続管理
- 順守
さらに、それぞれにつき数項目〜十数項目の詳細な管理策が規定されており、その合計が133個となる。管理策を選択する際に考慮すべき事項として、次のことがあげられる。
- 時間的制限:選択した管理策が現実的な時間内に実行できるか
- 財務上の制限:管理策のコストが保護すべき資産の価値に見合うか
- 技術上の制限:選択した管理策が技術的に適用可能か
- 法律上の制限:IT関連以外の法律も考慮しているか
これらを考慮して管理策を選択することにより、実効性のあるものとなる。また、管理策133のうち、最終的に何を選択し、何を選択しなかったのか、その理由と共に一覧表を作らなければならない。これが「適用宣言書」と呼ばれる大切な文書である。
管理策の実施については、文書化された具体的なルールの策定が必要となる。基本方針、規程類(スタンダード)、手順類(プロシージャ、もしくはマニュアル)などの様々なルール策定の他、入退室の管理表など記録類もきちんと取っていかねばならない。これらを総称してISMS文書と呼ぶ。
規格では、どんな規程や手順を作らなければならないのかという具体的な要求はない。各企業が必要に応じて独自のものを作ることができるが、運用のしやすさを考えてなるべく少なくコンパクトに作ることが肝要である。
■残留リスクの経営陣の承認とISMS導入・運用の経営陣の許可
ルールが策定されれば、「構築」のステップは完了し、いよいよ「運用」フェーズに入っていくことができるわけだが、当然ながら、ISMSの導入・運用に関しての経営陣の許可が必要となる。あわせて、当マネジメントシステムで対処されなかったリスク(残留リスク)に関しても、経営陣の承認が必要となる。
営業時間/平日9:00〜17:00
Copyright (c) TEIKOKU DATABANK Netcommunication, Ltd.