ISO27001キックオフ!でも規格を読むのが・・・・


さあISO27001を自社に合わせて構築しようと考えたとき、初めに読むのが規格や参考書かと思われますが、「様々な用語が登場し、なかなか規格自体の趣旨を読み解くに至らない。」なんてことは良く聞く話です。
そもそもの根幹となる脅威、脆弱性、リスクに対する認識から規格の考える意味合いと揃えていく必要が有ります。
ではそれぞれの意味について、改めて確認してみましょう。
① 脅威とは
脅威とは、それに悪意が伴うかに関係なく、結果的に組織が保有する情報資産に対して害を及ぼす、または発生する可能性のある事象をいいます。
盗難や不正アクセス、紛失、操作ミス、故障などの他に、地震や火災、洪水といったものも脅威と考えられます。
② 脆弱性とは
組織の情報資産は、多くの脅威にさらされています。
脆弱性とは、組織の情報セキュリティ体制上、これらの脅威に対する攻撃に弱い状態のことを指します。
第三者が脅威となる行為(システムの乗っ取りや機密情報の漏洩など)を行うことができる欠陥や仕様上の問題点といったシステム上の問題点や、機密情報の管理体制が整っていないなどといった人間の振る舞いに関する問題点も脆弱性となり得ます。
③リスクとは
リ スクとは、組織の情報セキュリティの脆弱な部分を付いて脅威が侵入し、情報資産の漏えいなどといった被害を及ぼす可能性のことを言います。情報セ キュリティが100%完全なものであるならば、リスクは0と言えますが、そのようなことはほとんどなく、組織は常にこのリスクを考慮し、低減するために情 報セキュリティを構築することになります。

初めにISO27001を導入する場合、「規格がこう」という視点より、まずは脅威、脆弱性、リスクについて考えてそれに合わせて見ると、意外と規格の要求からそれることはありませんよ。

メールアドレス