• Pマーク
  • ISO
  • ISMS

コラム

  • ISO
  • ISOコラム
  • ISO27001:2013(ISMS):2013年度規格改訂 6項「計画」規格解釈
業界初!全額返金保証!月額4万円からのISO取得サービス

ISO27001:2013(ISMS):2013年度規格改訂 6項「計画」規格解釈

MAX85_searchsa20140531_TP_V

いつもブログをご愛読いただきまして誠にありがとうございます。
ISO総合研究所コンサルタントの松口と申します。

梅雨の季節がやってきましたね。私は1年の中で一番嫌いな時期です。
早く夏が来ないかなと思っている今日この頃です。

夏といったら、海、バーベキュー、お祭り、花火と楽しみがいっぱいです。
プライベートでは、息子がどんどん成長しており、
最近ではパパとかママとか話すようになってきました。

息子の最近のマイブームはトーマスです。
トーマスの本を買ってあげたら離しません。

息子にトーマスの本を買ってあげるためにお仕事頑張ります。
息子を溺愛している私です。

まぁ、プライベートの話はこのくらいにしておきまして、
そろそろ本題に入らせて頂きたいと思います。

前回のブログでは「ISO9001:2015(QMS):2015年度の概要」をご紹介させて頂きましたが、今回は「ISO27001:2013(ISMS):2013年度規格改訂 6項「計画」規格解釈」をご紹介させて頂きます。

まずはJIS Q 27001:2014の要求事項を見てみましょう。

下記に記載していきます。JIS Q 27001:2014に記載されている要求事項はよくわからないことが書いてあり解釈するのに苦労するかと思います。が、下記に概要を簡単に書かせて頂きますのでご興味があればお読みください。

6 計画
6.1 リスク及び機会に対処する活動

6.1.1 一般

ISMS(ISO27001:2013)の計画を策定するとき,組織は,4.1 に規定する課題及び4.2 に規定する要求事項を考慮し,次の事項のために対処する必要があるリスク及び機会を決定しなければならない。

a) ISMS(ISO27001:2013)が,その意図した成果を達成できることを確実にする。
b) 望ましくない影響を防止又は低減する。
c) 継続的改善を達成する。

組織は,次の事項を計画しなければならない。

d) 上記によって決定したリスク及び機会に対処する活動
e) 次の事項を行う方法
 1) その活動のISMSプロセスへの統合及び実施
 2) その活動の有効性の評価

これらの要求事項のポイントとしては、ISMS(ISO27001:2013)の計画において、情報セキュリティに関連するリスクだけでなく、マネジメントシステムのリスクを含めた全体のリスクを対象としていることです。特に4.1の「組織及びその状況の理解」より決定した課題から、必要があるリスクを決定しましょうとのことです。

リスク及び機会に対処する活動には、ISMS(ISO27001:2013)の全体の活動、目的の達成のための計画、リスク対応計画などがあります。
この辺を頭の片隅に入れて考えて見るとわかりやすいかもしれません。

6.1.2 情報セキュリティリスクアセスメント

組織は,次の事項を行う情報セキュリティリスクアセスメントのプロセスを定め,適用しなければならない。

a) 次を含む情報セキュリティのリスク基準を確立し,維持する。
 1) リスク受容基準
 2) 情報セキュリティリスクアセスメントを実施するための基準
b) 繰り返し実施した情報セキュリティリスクアセスメントが,一貫性及び妥当性があり,かつ,比較可能な結果を生み出すことを確実にする。
c) 次によって情報セキュリティリスクを特定する。
 1) ISMS(ISO27001:2013)の適用範囲内における情報の機密性,完全性及び可用性の喪失に伴うリスクを特定するために,情報セキュリティリスクアセスメントのプロセスを適用する。
 2) これらのリスク所有者を特定する。
d) 次によって情報セキュリティリスクを分析する。
 1) 6.1.2 c) 1) で特定されたリスクが実際に生じた場合に起こり得る結果についてアセスメントを行う。
 2) 6.1.2 c) 1) で特定されたリスクの現実的な起こりやすさについてアセスメントを行う。
 3) リスクレベルを決定する。
e) 次によって情報セキュリティリスクを評価する。
 1) リスク分析の結果と6.1.2 a) で確立したリスク基準とを比較する。
 2) リスク対応のために,分析したリスクの優先順位付けを行う。

組織は,情報セキュリティリスクアセスメントのプロセスについての文書化した情報を保持しなければならない。

それでは今度はこちらの要求事項のポイントを見てみましょう。
まずはa)~e)の項目を満たす情報セキュリティのリスクアセスメントの手順を定めて実施することです。

情報の「機密性」「完全性」及び「可用性」の喪失に伴うリスクの影響を考慮し、組織として認識する情報セキュリティを特定する必要があります。リスク分析することにより、情報資産におけるリスクレベルを洗い出し、実際に生じた場合に

起こり得る結果、現実的な起こりやすさについてアセスメントを行う必要があります。
その結果、リスク対応計画に反映していくことになります。

6.1.3 情報セキュリティリスク対応

組織は,次の事項を行うために,情報セキュリティリスク対応のプロセスを定め,適用しなければならない。

a) リスクアセスメントの結果を考慮して,適切な情報セキュリティリスク対応の選択肢を選定する。
b) 選定した情報セキュリティリスク対応の選択肢の実施に必要な全ての管理策を決定する。
c) 6.1.3 b) で決定した管理策を附属書A に示す管理策と比較し,必要な管理策が見落とされていないことを検証する。
d) 次を含む適用宣言書を作成する。
 - 必要な管理策[6.1.3 のb) 及びc) 参照]及びそれらの管理策を含めた理由
 - それらの管理策を実施しているか否か
 - 附属書A に規定する管理策を除外した理由
e) 情報セキュリティリスク対応計画を策定する。
f) 情報セキュリティリスク対応計画及び残留している情報セキュリティリスクの受容について,リスク所有者の承認を得る。

組織は,情報セキュリティリスク対応のプロセスについての文書化した情報を保持しなければならない。

それでは続きましてこちらの要求事項のポイントを見てみましょう。
まずはa)~f)の項目を満たす情報セキュリティ対応の手順を定めて実施することです。

リスク対応のために必要な管理策を決定し、附属書Aに記載されている管理策と比べ、必要な管理策の見落としがないかを確認します。そして適用宣言書の作成をします。その際に管理策の採否及びその理由は記載するようにしましょう。

6.2 情報セキュリティ目的及びそれを達成するための計画策定

組織は,関連する部門及び階層において,情報セキュリティ目的を確立しなければならない。情報セキュリティ目的は,次の事項を満たさなければならない。

a) 情報セキュリティ方針と整合している。
b) (実行可能な場合)測定可能である。
c) 適用される情報セキュリティ要求事項,並びにリスクアセスメント及びリスク対応の結果を考慮に入れる。
d) 伝達する。
e) 必要に応じて,更新する。

組織は,情報セキュリティ目的に関する文書化した情報を保持しなければならない。組織は,情報セキュリティ目的をどのように達成するかについて計画するとき,次の事項を決定しなければならない。

f) 実施事項
g) 必要な資源
h) 責任者
i) 達成期限
j) 結果の評価方法

それでは最後にこちらの要求事項のポイントを見てみましょう。
まずはa)~e)の項目を満たす情報セキュリティにおいて達成する目的を定めて実施することです。
次にf)~j)の項目を満たす情報セキュリティ目的を達成するための実施計画を策定します。

自社の運用でお悩み等がございましたら、是非一度ISO総合研究所にお問い合わせください。コンサルタントがご訪問させて頂きアドバイスをさせて頂きます。

カテゴリー:ISOコラム タグ:27001 ISO アイエスオー コンサルタント 規格改訂


関連記事

0120-068-268
無料相談はコチラ無料相談
資料請求はコチラ資料請求
お問い合わせはコチラお問い合わせ