ISO27001:2013(ISMS):2013年度規格改訂 6.1項「リスク及び機会に対処する活動」規程解釈


 

SAYA151005488000_TP_V

 

いつもご愛読いただきありがとうございます。

ISO総合研究所コンサルタントの茶谷です。

 

今回はISO27001(ISMS):2013年度版における、6.1項「リスク及び機会に対処する活動」について解釈をご説明していこうと思います。

この項番では、3つの内容で分かれております。それぞれは連続性のあるものとなっており、PDCAサイクルを進めるにあたり非常に重要な内容となっております。

 

以下3つ、それぞれ詳細を解説しつつ、全体の流れを把握していただければと思います。

 

  • 1.1 一般

この項番では、ISMS全体の計画を策定する際に考慮すべき事項について述べていると共に、確実に組織内で明確にしなければならないことが言われております。

まず考慮すべき事項として、4.1項(組織及びその状況の理解)、及び、4.2項(利害関係者のニーズ及び期待の理解)について理解をする必要があります。

 

・4.1項:(組織及びその状況の理解)

ここでは、組織の目的(経営目標等)を前提に、外部及び内部の課題を明確にしなければならないことを示しています。

外部の課題とは、外部環境との関係性の中での課題と思われるものであり、内部の課題とは社内体制の中での課題としていることです。

 

・4.2項:(利害関係者のニーズ及び期待の理解)

ここでは、以下の二つの事項を明確にしなければならないことを示しています。

  1. ISMSに関連する利害関係者
  2. その利害関係者の、情報セキュリティに関連する要求事項

 

以上の2点を考慮した上で、以下の3つの事項に対処しなければなりません。

  1. ISMSが、その意図した成果を達成できることを確実にする。
  2. 望ましくない影響を防止又は低減する。
  3. 継続的改善を達成する。

要するにISMSが成果を出すこと、又は、組織にとって望ましくない事象が起き影響を受けてしまうことに対処するために、組織活動の中で存在しているリスク(危険性)及びそのリスクを改善するための機会を明確にしなければならないということです。

そのために、ISMS上の計画として、組織の実態で行っている活動をいかにISMS内へ取り込んでいくか、及び、その活動が有効的に働いているのかを振り返っていくための計画を組織として計画に落としこんでいかなければならないのです。

 

 

  • 1.2 情報セキュリティリスクアセスメント

 上記の6.1.1におけるような計画を踏んだ上で、ここでは実際に存在するリスク(危険性)について分析していかなければなりません。

ここで大切なのは以下の通りです。

 

  • 組織としてリスクを受容できる基準レベルを決めましょう。
  • 機密性・完全性・可用性を基本としてリスクが何なのかを見つけていきましょう。
  • 発見したリスクの起こる確率、影響、対応するべき優先順位を明確にしましょう。

 

以上の大きく分けて3つの事をかんがえてください。

ここは難しく考えずに、普段事業の中でも実施しているような、問題発見→原因究明→対策決定→改善実施→改善後の評価、といった一連の問題解決プロセスと何ら変わりません。ただ、ここで注意しなければならないのが、リスクが存在しているものに限らず、リスクとなり得るものも考慮しなければならないことです。つまり、インシデント事故となってしまった事項だけでなく、ヒヤリハットに関しても慎重に分析をかけていくこと等が必要とされています。

 

 

  • 1.3 情報セキュリティリスク対応

 以上6.1.1、6.1.2を踏まえて、洗い出されたリスクに対しての対応が最終的には必要となってきます。もちろんリスクに対応すべきかどうかはその組織の状況判断によります。放置していたらいずれは漏洩事故等につながりかねない事は身近に自然に存在していますよね。

ここでもリスク対応に際しての重要な事項を大きく3つにわけて述べたいと思います。

 

  • リスクアセスメントの結果、リスクの対応方法を明確にします。
  • リスク対策に必要と思われる管理対策を全てに対して明確にします。
  • 対応するべきリスク、実施する対策をそれぞれ計画として明確にします。

以上3つのプロセスに従い、リスク対応計画を策定するところまで考える必要があります。ここで決定した実施する対応管理策を基に、ISMS管理策が定められている付属書Aの114項目の要求事項それぞれすべてに対して管理策を明記することにより、適用宣言書を策定することが求められています。

つまり、リスクへの管理策を実施しないと組織で判断したのであれば、114項番のうち部分的に適用をしないものも出てくると思います。適用するかしないかとは、管理策を実施の有無、及び、リスクへの対応をするかしないかが基準となります。

 

 

以上となります。ISMSプロセス上で6.1項というほんの一部でもあり、PDCAサイクル上非常に重要なプロセスを解説させていただきました。リスクを洗い出して、対策まで持っていくことであらかじめ事故等の悪い影響を防ぐことはISMSに関係なく当然のことのように組織では行われていることでもあります。難しく考えずに、その考慮しているプロセス実態そのものを、そのままISMSの中へ投影していただければと思います。

 

お困りのことがございましたら弊社が運用を全力でサポートさせていただきたいと思います。ぜひご連絡をくださいませ。

メールアドレス