ISO27001:2013(ISMS):2013年度規格改訂 8.2項「情報セキュリティリスクアセスメント」規程解釈


 

 

 

TC160130040I9A6542_TP_V

いつもご愛読いただきましてありがとうございます。

ISO総合研究所コンサルタントの堀田と申します。

 

前回のブログでは「ISO27001(ISMS):2013年規格改訂5.3項「組織の役割、及び権限」規格解釈」というものをテーマに書かせていただきました。

 

 

今回は…

 

 

「ISO27001(ISMS):2013年規格改訂8.2項「情報セキュリティリスクアセスメント」規格解釈」というテーマで書かせていただきます!

またしても前回に続いて、規格解釈シリーズ!!

 

 

堀田がブログでISO27001 (アイエスオーニマンナナサエンイチ)2013年規格改訂8.2項「情報セキュリティリスクアセスメント」の部分の規格解釈という形でやさーしく、わかりやすーく、丁寧に!説明させていただきます。

ちなみに、ここ以降はISMS(アイエスエムエス)というものが出てきますが、ISO27001(アイエスオーニマンナナサエンイチ)と同義です。

 

では、はじめに8.2項の要求事項には何が書かれているのでしょうか?

 

「組織は、あらかじめ定めた間隔で,又は重大な変更が提案されたか若しくは重大な変化が生じた場合に、6.1.2 a) で確立した基準を考慮して,情報セキュリティリスクアセスメントを実施しなければならない。

組織は、情報セキュリティリスクアセスメント結果の文書化した情報を保持しなければならない。」

 

途中で出てくる6.1.2 a)も後で見てみましょう。

最初は、情報セキュリティリスクアセスメントというものを簡単にして、文字から読み解いてみましょう。

 

・情報セキュリティ

情報セキュリティは、「情報の使用不可や非公開にする特性、正確性や間違えがないように保護すること、いつでもアクセスや使用が可能な状態を維持すること。さらに、ある資源等が本当に合っているかどうかを確実にすること、いつでもその作業の流れが追跡できること、ある活動が後になって違うということが起こらないように証明すること、ある動作および結果に一致することのような特性を維持することを含めてもよい」

 

・リスク【risk】

危険。危険度。また、結果を予測できる度合い。予想通りにいかない可能性。

 

・アセスメント【assessment】

評価。査定。開発が環境に及ぼす影響の程度や範囲について,事前に予測・評価することなどにいう。

 

まとめると…

情報の使用不可や非公開にする特性、正確性や間違えがないように保護すること、いつでもアクセスや使用が可能な状態が維持できるように前もって危険、結果を予測できる度合いを評価する。

ですね!!

 

情報セキュリティリスクアセスメントについてはわかりました。

次は6.1.2 a)の基準ですね。

6.1.2 a)は規格要求事項に何が書いてあるでしょう?

 

次を含む情報セキュリティのリスク基準を確立し,維持する。

1) リスク受容基準

2) 情報セキュリティリスクアセスメントを実施するための基準

 

1)は、リスクはあるのだけれども、今の現状では対応の必要がないだろうと判断する基準を設けること

2)は、リスクアセスメントを行う上で、どのような基準を作るのか?リスクの評価をするための基準はどんなものか?

 

こんなことが書いてあるんですね。

この基準を元に情報セキュリティのリスク評価を行っていきましょうということなんですね。

 

そして最後の部分です。これの結果を文書化しましょうということです。

さて、文書化というのはどういうことでしょう?

 

文字にする。文章にする。

というのが一般的だと思います。

実は、文書化というのは、文字、文章の他に、表、図、絵、写真なども当てはまります。

必ずしも、文字で文章を書かなければいけないというものではないのです!!

これはけっこう勘違いをされてしまう方が多いのです。

 

さて、これですべてのわからないような文言がわかりましたね。

最後にまとめてみましょう。

 

8.2項「情報セキュリティリスクアセスメント」

「会社やISMS認証の範囲中の組織は、定期的又は大きな変更が生じた場合に、リスクアセスメントを行う上でリスク評価をするための基準を考慮して、情報の使用不可や非公開にする特性、正確性や間違えがないように保護すること、いつでもアクセスや使用が可能な状態が維持できるように前もって危険、結果を予測できる度合いの評価を実施しなければならない。

会社やISMS認証の範囲中の組織は、これらの結果を文章・表・図・絵などで記録を残さなければならない。」

 

ということになります。

どうでしょう?わかりましたか?

 

こういう規格解釈が本当にあなたの会社にとって必要なのかを考えるのも良いかもしれないですね。

しかし、解釈にかかる時間がもったいなくありませんか?

 

弊社では、運用代行サービスを行っております。

あなたの会社の事務局として一緒に運用することができますので、さらにあなたの会社のISOにかかる時間が無くなります。

書類作成、年間スケジュール組み、規格改訂、ムダな規程類の削減・規程の見直し、内部監査をやらせていただきますので、それらにかかる時間が全てなくなります。

その分の時間を売り上げのための時間に使って頂き、売り上げを伸ばしていただきたいです!!

僕らのミッションは、お客様のISOにかかる時間、工数を「0」に近づけていくということです。

 

話が長くなりました…

それでは、今回は「ISO27001(ISMS):2013年規格改訂8.2項「情報セキュリティリスクアセスメント」規格解釈」というテーマで書かせていただきました。

また読んでいただけることを楽しみにしております。

ありがとうございました。

メールアドレス