2016年06月28日

ISO27001:2013(ISMS):2013年度規格改訂 6.1項「リスク及び機会に対処する活動」規程解釈

 

SAYA151005488000_TP_V

 

いつもご愛読いただきありがとうございます。

ISO総合研究所コンサルタントの茶谷です。

 

今回はISO27001(ISMS):2013年度版における、6.1項「リスク及び機会に対処する活動」について解釈をご説明していこうと思います。

この項番では、3つの内容で分かれております。それぞれは連続性のあるものとなっており、PDCAサイクルを進めるにあたり非常に重要な内容となっております。

 

以下3つ、それぞれ詳細を解説しつつ、全体の流れを把握していただければと思います。

 

  • 1.1 一般

この項番では、ISMS全体の計画を策定する際に考慮すべき事項について述べていると共に、確実に組織内で明確にしなければならないことが言われております。

まず考慮すべき事項として、4.1項(組織及びその状況の理解)、及び、4.2項(利害関係者のニーズ及び期待の理解)について理解をする必要があります。

 

・4.1項:(組織及びその状況の理解)

ここでは、組織の目的(経営目標等)を前提に、外部及び内部の課題を明確にしなければならないことを示しています。

外部の課題とは、外部環境との関係性の中での課題と思われるものであり、内部の課題とは社内体制の中での課題としていることです。

 

・4.2項:(利害関係者のニーズ及び期待の理解)

ここでは、以下の二つの事項を明確にしなければならないことを示しています。

  1. ISMSに関連する利害関係者
  2. その利害関係者の、情報セキュリティに関連する要求事項

 

以上の2点を考慮した上で、以下の3つの事項に対処しなければなりません。

  1. ISMSが、その意図した成果を達成できることを確実にする。
  2. 望ましくない影響を防止又は低減する。
  3. 継続的改善を達成する。

要するにISMSが成果を出すこと、又は、組織にとって望ましくない事象が起き影響を受けてしまうことに対処するために、組織活動の中で存在しているリスク(危険性)及びそのリスクを改善するための機会を明確にしなければならないということです。

そのために、ISMS上の計画として、組織の実態で行っている活動をいかにISMS内へ取り込んでいくか、及び、その活動が有効的に働いているのかを振り返っていくための計画を組織として計画に落としこんでいかなければならないのです。

 

 

  • 1.2 情報セキュリティリスクアセスメント

 上記の6.1.1におけるような計画を踏んだ上で、ここでは実際に存在するリスク(危険性)について分析していかなければなりません。

ここで大切なのは以下の通りです。

 

  • 組織としてリスクを受容できる基準レベルを決めましょう。
  • 機密性・完全性・可用性を基本としてリスクが何なのかを見つけていきましょう。
  • 発見したリスクの起こる確率、影響、対応するべき優先順位を明確にしましょう。

 

以上の大きく分けて3つの事をかんがえてください。

ここは難しく考えずに、普段事業の中でも実施しているような、問題発見→原因究明→対策決定→改善実施→改善後の評価、といった一連の問題解決プロセスと何ら変わりません。ただ、ここで注意しなければならないのが、リスクが存在しているものに限らず、リスクとなり得るものも考慮しなければならないことです。つまり、インシデント事故となってしまった事項だけでなく、ヒヤリハットに関しても慎重に分析をかけていくこと等が必要とされています。

 

 

  • 1.3 情報セキュリティリスク対応

 以上6.1.1、6.1.2を踏まえて、洗い出されたリスクに対しての対応が最終的には必要となってきます。もちろんリスクに対応すべきかどうかはその組織の状況判断によります。放置していたらいずれは漏洩事故等につながりかねない事は身近に自然に存在していますよね。

ここでもリスク対応に際しての重要な事項を大きく3つにわけて述べたいと思います。

 

  • リスクアセスメントの結果、リスクの対応方法を明確にします。
  • リスク対策に必要と思われる管理対策を全てに対して明確にします。
  • 対応するべきリスク、実施する対策をそれぞれ計画として明確にします。

以上3つのプロセスに従い、リスク対応計画を策定するところまで考える必要があります。ここで決定した実施する対応管理策を基に、ISMS管理策が定められている付属書Aの114項目の要求事項それぞれすべてに対して管理策を明記することにより、適用宣言書を策定することが求められています。

つまり、リスクへの管理策を実施しないと組織で判断したのであれば、114項番のうち部分的に適用をしないものも出てくると思います。適用するかしないかとは、管理策を実施の有無、及び、リスクへの対応をするかしないかが基準となります。

 

 

以上となります。ISMSプロセス上で6.1項というほんの一部でもあり、PDCAサイクル上非常に重要なプロセスを解説させていただきました。リスクを洗い出して、対策まで持っていくことであらかじめ事故等の悪い影響を防ぐことはISMSに関係なく当然のことのように組織では行われていることでもあります。難しく考えずに、その考慮しているプロセス実態そのものを、そのままISMSの中へ投影していただければと思います。

 

お困りのことがございましたら弊社が運用を全力でサポートさせていただきたいと思います。ぜひご連絡をくださいませ。

このエントリーをはてなブックマークに追加

  • Pマーク総研無料プレゼント02
  • Pマーク総研無料プレゼント03
  • ISMS総研無料相談依頼
  • ISMS総研無料プレゼント
  • ISMS総研お問合せISMS総研お問合せ

【ISMS総研】メールマガジン登録

ISMSに関する情報をお届けします!

メールアドレスをご入力後、
「次へ」ボタンをクリックして下さい。

メールアドレス

お客様の声

株式会社GOSPA様(情報通信業)

2か月に1度打合せに来てもらうことで、ISMS(ISO27001)に関する疑問を解決することができました。

株式会社ファンベスト様(営業代行業)
株式会社ファンベスト様

自分たちは本当に本来の業務に集中しているだけでPマーク・ISMSの取得ができました

株式会社ハイフィールズ様(ITコンサルティング業)

PマークやISMSの担当になってから仕事が手詰まりになっていましたが、ISO総研さんに来てもらって解消されました!

エーソル株式会社様(情報通信業)

アドバイスを頂くことで意見が整理でき、ISMS運用の方向性を決めることが出来るようになりました。

WealthPark株式会社様(デジタル資産運用プラットフォーム事業)

ISMS審査までの工数を逆算して計画を立ててくれて、準備事項にも的確な指摘をもらえたので本業の効率が高まりました!

中島金属箔粉工業株式会社様(アルミ製品の販売業)
中島金属箔粉工業株式会社様

記録管理の手伝いやスケジュール管理もしてくれるので、兼務でも負担なくISMSの維持・運用ができます

お客様の声一覧