「ISMS規格をわかりやすく解読する」シリーズの5回目は、「6.計画」の後編について見ていきたいと思います。

※今回利用する「ISMS規格」とは、JIS Q 27001:2014を指します。
※用語の定義は、JIS Q 27000:2014によります。

6.1.3情報セキュリティリスク対策

前節(6.1.2)では、どのようなリスクがあるのかを特定し、分析し、評価しました。では、その顕在化したリスクをどう処理していくのかを決めるのが、この「リスク対応」です。

まず初めに、各リスクに対してどのようなリスク対応を取るのかを検討します。その対応とは、例えばリスクの完全除去かも知れないですし、リスクを低減することかもしれません。場合によっては、どうしてもやむを得ず、リスクを受け入れるという選択肢も必要かもしれません。

その後、先ほど定めた対応を実現するために、具体的にどのようなアクション(管理策)を取るかを決めます。例えば、個人のUSBの利用を禁止したり、ファイルの操作ログをとったり、といった感じです。実際は「附属書A」に様々な管理策の例が記載されています。これらの管理策とも見比べて、適切なものを選択していく必要があります。

その後「適用宣言書」を作る必要があります。この適用宣言書には「必要な管理策」「その管理策を含めた理由」「その管理策を実施しているか」「附属書Aに記載があるのにも関わらず、適用しなかった管理策がある場合、その理由」を記載しておく必要があります。

最後に、今まで議論してきたリスクにどう対応するかといった、情報セキュリティリスク対応計画を策定する必要があります。適用宣言書に記載された管理策を、どう実現していくかの計画です。この計画と、残留している情報セキュリティリスクは、リスク所有者の承認を得る必要があります。

6.2 情報セキュリティ目的及びそれを達成するための計画策定

5章のリーダーシップで登場した「情報セキュリティ目的」を、この章では定めていきます。更にこの章では、その目的をどのように達成するかも決定する必要があります。

目的を定めるにあたって、条件がいくつかあります。それが、情報セキュリティ方針と適合していること、測定可能であること、先に定めた「情報セキュリティ要求事項」と「リスクアセスメント」や「リスク対応」の結果を考慮にいれること、伝達すること、必要に応じて更新すること、の5つです。

さらに、目的を実現するための計画を立てる必要があります。その計画を立てるに当たって決定しなければいけないことは、実施する事項、必要な資源、責任者、達成する期限、結果の評価方法、の5つです。

ISMS規格をわかりやすく解読する【6.計画(後編)】

Posted in 規格解説

「ISMS規格をわかりやすく解読する」シリーズの5回目は、「6.計画」の後編について見ていきたいと思います。

※今回利用する「ISMS規格」とは、JIS Q 27001:2014を指します。
※用語の定義は、JIS Q 27000:2014によります。

6.1.3情報セキュリティリスク対策

前節(6.1.2)では、どのようなリスクがあるのかを特定し、分析し、評価しました。では、その顕在化したリスクをどう処理していくのかを決めるのが、この「リスク対応」です。

まず初めに、各リスクに対してどのようなリスク対応を取るのかを検討します。その対応とは、例えばリスクの完全除去かも知れないですし、リスクを低減することかもしれません。場合によっては、どうしてもやむを得ず、リスクを受け入れるという選択肢も必要かもしれません。

その後、先ほど定めた対応を実現するために、具体的にどのようなアクション(管理策)を取るかを決めます。例えば、個人のUSBの利用を禁止したり、ファイルの操作ログをとったり、といった感じです。実際は「附属書A」に様々な管理策の例が記載されています。これらの管理策とも見比べて、適切なものを選択していく必要があります。

その後「適用宣言書」を作る必要があります。この適用宣言書には「必要な管理策」「その管理策を含めた理由」「その管理策を実施しているか」「附属書Aに記載があるのにも関わらず、適用しなかった管理策がある場合、その理由」を記載しておく必要があります。

最後に、今まで議論してきたリスクにどう対応するかといった、情報セキュリティリスク対応計画を策定する必要があります。適用宣言書に記載された管理策を、どう実現していくかの計画です。この計画と、残留している情報セキュリティリスクは、リスク所有者の承認を得る必要があります。

6.2 情報セキュリティ目的及びそれを達成するための計画策定

5章のリーダーシップで登場した「情報セキュリティ目的」を、この章では定めていきます。更にこの章では、その目的をどのように達成するかも決定する必要があります。

目的を定めるにあたって、条件がいくつかあります。それが、情報セキュリティ方針と適合していること、測定可能であること、先に定めた「情報セキュリティ要求事項」と「リスクアセスメント」や「リスク対応」の結果を考慮にいれること、伝達すること、必要に応じて更新すること、の5つです。

さらに、目的を実現するための計画を立てる必要があります。その計画を立てるに当たって決定しなければいけないことは、実施する事項、必要な資源、責任者、達成する期限、結果の評価方法、の5つです。

Author: LRM株式会社
  • はてなブックマークに追加
  • ツイートする
  • facebookでシェアする
  • LINEでシェアする