ISO/IEC
ISO/IEC
ISO/IEC
ISO/IEC
27001
27001
27001:2005
27001
:2005
:2005 認証取得済み組織の
:2005
認証取得済み組織の
認証取得済み組織の
認証取得済み組織の
ISO/IEC
ISO/IEC
ISO/IEC
ISO/IEC
27001:2013
27001:2013
27001:2013
27001:2013 への
への
への移行
への
移行
移行のための対応
移行
のための対応
のための対応
のための対応
2014 年 7 月
目 次 はじめに ... 1 1. 新規格の特徴 ... 1 1.1 ISO マネジメントシステム規格(MSS)と ISO 31000 の影響 ... 1 1.2 リスクの考え方の変更 ... 3 1.3 情報セキュリティリスク特定の変更 ... 4 1.4 附属書 A の管理策の取扱いの変更 ... 6 2. 移行対応にあたって ... 8 2.1 移行審査(差分審査)の対応方式(大日程)の決定 ... 8 2.2 ギャップ分析の実施 ... 9 2.3 リスク評価方法の見直し ... 10 おわりに ... 12 参考文献 ... 12
1
はじめに
情報セキュリティマネジメントシステム(ISMS)の国際的な認証規格である ISO/IEC 27001:2005(情報技術-セキュリティ技術-情報セキュリティマネジメントシステム-要 求事項)(以後「旧規格」という。)は、2013 年 10 月 1 日に ISO/IEC 27001:2013(以後「新 規格」という。)に改訂された。これをうけて国内規格の JIS Q 27001:2006 は 2014 年 3 月に JIS Q 27001:2014 に改訂された。旧規格による認証を取得している組織は 2015 年 10 月 1 日までに新規格への移行が完了しなければならないことが決定している[1]。 そこで本論は、まず新規格の特徴を旧規格との違いを示しながら説明する。次に旧規格 による認証を取得済みの組織にとっての、規格改訂後の審査に向けての対応ポイントを解 説する。 なお本書は新規格として ISO/IEC 27001:2013 英和対訳版を参照し、旧規格として JIS Q 27001:2006 を参照する。1.
新規格の特徴
1.1 ISO マネジメントシステム規格(MSS)と ISO 31000 の影響ISO では、2006 年から 2011 年にかけて、ISO 9001、ISO 14001、ISO/IEC 27001 な どの ISO マネジメントシステム規格(ISO MSS)の整合性を確保するための議論が行われ、 目次構成や用語の定義などの各規格を定める際の共通的な事項を ISO MSS 共通要素とし て定めた[2]。なお ISO MSS 共通要素が定められる過程において、リスクマネジメントの汎 用的な規格である ISO 31000 による影響を受けている。それ以後制定および改正される全 ての ISO MSS が原則としてこの ISO MSS 共通要素を採用して開発することが義務付け られ、新規格についてもこれを踏まえて改訂された。 これにより、新規格の目次構成は旧規格から大きく変化した。図 1 に示すように、ISO MSS 共通要素と情報セキュリティマネジメント固有の内容により構成される。
2 図 図 図 図 111 1 新規格の目次構成 新規格の目次構成新規格の目次構成新規格の目次構成[[[[3333]]]] ISO 31000 は新規格の情報セキュリティマネジメント固有の内容にも影響を与えている。 新規格は ISO MSS 共通要素や ISO 30001 の影響により、用語や定義として新しく登場 したものや、コンセプトが更新されたものがあり、これらの多くは他のマネジメント規格 でも用いられる汎用的なものである(図 2)。 図 図 図 図 2222 新しく登場した用語新しく登場した用語新しく登場した用語、コンセプト新しく登場した用語、コンセプト、コンセプトの例、コンセプトの例の例 の例
組織の状況(Context of the organization) 課題(issues)
リスクと機会(risks and opportunities)
情報セキュリティ(*1)目的(Information security objectives) 文書化された情報(Documented information) リーダーシップ(Leadership) コミュニケーション(Communication) リスク所有者(*2)(Risk owner) パフォーマンス評価(Performance evaluation) (*1) (*2)「情報セキュリティ」「リスク所有者」は情報セキュリティマネジメント固有の内容 新しい用語やコンセプトの趣旨は、これまでの旧規格の要求と比較し全く異なる新規事 項ではないが、意図する内容が変わっている場合があるため、これまでの対応が実質的に 黒文字は 黒文字は 黒文字は 黒文字はISO MSS共通要素、共通要素、共通要素、共通要素、赤文字赤文字赤文字赤文字は情報セキュリティははは情報セキュリティ情報セキュリティ情報セキュリティマネジメントマネジメントマネジメントマネジメント固有の内容固有の内容固有の内容固有の内容 0. 序文 1. 適用範囲 2. 引用規格 3. 用語及び定義 4. 組織の状況 4.1 組織及びその状況の理解 4.2 利害関係者のニーズ及び期待の理解 4.3 情報セキュリティマネジメントシステムの適用範囲の決定 4.4 情報セキュリティマネジメントシステム 5. リーダーシップ 5.1 リーダーシップ及びコミットメント 5.2 方針 5.3 組織の役割、責任及び権限 6. 計画 6.1 リスク及び機会への取組み 6.1.1 一般 6.1.2 情報セキュリティリスクアセスメント 6.1.3 情報セキュリティリスク対応 6.2 情報セキュリティ目的及びそれを達成するための計画策定 7. 支援 7.1 資源 7.2 力量 7.3 認識 7.4 コミュニケーション 7.5 文書化された情報 7.5.1 一般 7.5.2 作成及び更新 7.5.3 文書化した情報の管理 8. 運用 8.1 運用の計画及び管理 8.2 情報セキュリティリスクアセスメント 8.3 情報セキュリティリスク対応 9. パフォーマンス評価 9.1 監視、測定、分析、及び評価 9.2 内部監査 9.3 マネジメントレビュー 10. 改善 10.1 不適合及び是正処置 10.2 継続的改善
3 要求を満たしているかどうかの確認および適宜の見直しが必要となる。 新旧規格を読み比べてみると、旧規格では主語が「経営陣は、」で始まる要求事項は限ら れていたが、新規格では「トップマネジメントは、」が主語で始まる要求事項が増え、また 内容が具体的になっている。これを踏まえ旧規格による認証取得済みの組織は、特に次の 点に留意した ISMS の見直しが求められる。 ・経営陣のリーダーシップおよびコミットメントの強化 ・ISMS のプロセスと事業・組織運営のプロセスとの統合 ・リスクアセスメントの経営的視点による見直し 1.2 リスクの考え方の変更 新規格となりリスクの定義が「目的に対する不確かさの影響」に変更された。 ここでいう「目的」には事業や組織運営全般の目的と情報セキュリティ目的の 2 種類が ある。前者は ISO MSS 共通要素由来の要求事項として、新規格において追加されたもので ある。後者は旧規格にも存在していた考え方で新規格では情報セキュリティマネジメント 固有事項由来の要求事項に引き継がれているといえる。つまり、新規格は従来の情報セキ ュリティリスクに加えてその事業や組織運営全般のリスク(以後「全般的リスク」という) に対しても意を払った評価を行うことが明示されたことになる。旧規格において「全般的 リスク」に関係する記述が全くないということではないが、規格を一読してもそれを意図 した ISMS の取り組みについては理解し難いものであった。それが新規格となり、ISO MSS を踏まえた規格改訂が行われた結果として「全般的リスク」に関する取扱いがより明確に なったものと解釈した。 このことがどのような意味を持つのかについて次の仮想事例をもとに考えてみたい。 ある企業の認証取得範囲である Web サイトを通じた直販システムは「24 時間 365 日稼 動の保証」を求められていると仮定する。この場合、従来の情報セキュリティ目的からい うとリスクは「大」とされるであろう。 しかしながら、ここにこの企業の「事業や組織運営全般の目的」のひとつである「企業 全体の利益の拡大」を加えた場合、Web サイト経由の販売金額が数%であれば「事業や組 織運営全般の目的」に対するリスクは「小」になりうる。反対に Web サイト経由の販売金 額が 50%というように極めて高ければ、「事業や組織運営全般の目的」に対するリスクは「中 ~大」となる。さらに言えば、Web 直販システムがより戦略的な目的(例えば同業他社に 先駆けた先進技術を活用したビジネスの実現)にあれば、また異なったリスク評価結果と なることが考えられる。この仮想事例のようにリスク評価において「事業や組織運営全般 の目的」をうまく取り込んで行うことで、リスク対策の必要性を経営陣の視点から把握で きるようになる。これは、「情報セキュリティ対策は重要だが費用対効果がわかりにくい」 とする組織にとって有益な改定となりうるであろう。
4 1.3 情報セキュリティリスク特定の変更 情報セキュリティリスク特定手順が旧規格から新規格で変わっている。旧規格では ISMS 適用範囲の中にある資産の特定→資産の管理責任者の特定→脅威、脆弱性の特定を通じた 影響の特定という手順となっていた。一方新規格では ISMS の適用範囲内における情報の 機密性、完全性、可用性の喪失に伴うリスクを特定し、リスク所有者を特定することと変 更されている。ここでいうリスク所有者の定義は「リスクを運用管理することについて、 アカウンタビリティ及び権限をもつ人又は主体」とされており、事実上組織の役員レベル やそれらをサポートするスタッフ部門が該当すると考えられる。 旧規格と新規格のリスク特定とその対策および残留リスクの承認の流れのイメージを以 下に示す。 図 3 は、旧規格における例である。これによれば、情報資産の管理責任者は所管してい る資産についての対策を検討する立場であり、経営陣はその管理責任者の行ったリスク評 価とその対策について承認する立場ということになる。この場合は、管理責任者が所管す る資産について個別検討して対策を立案することになるため、経営陣として組織全体とし て適切な対策を図るためには、個別対策の優先順位付けの判断を行ったり、類似した脅威 に対する残留リスクを情報資産の重要度等に応じて調整を図ったりする必要がある。 図 図図 図 3333 旧規格による旧規格による旧規格による旧規格による情報セキュリティ情報セキュリティ情報セキュリティ情報セキュリティリスクの特定と対策検討の流れ(一例)リスクの特定と対策検討の流れ(一例)リスクの特定と対策検討の流れ(一例) リスクの特定と対策検討の流れ(一例) 資産A 管理責任者 残留リスク 残留リスク 残留リスク 残留リスク 経営陣 資産B 管理責任者 資産C 管理責任者 対策検討A 対策検討B 対策検討C 承 認 脆 弱 性 脅 威 脆 弱 性 脅 威 脆 弱 性 脅 威 影響 影響 影響
5 一方、図 4 の新規格で求められるように組織全般が認識するリスク所有者があらかじめ 特定されている場合、リスク所有者の示すリスク評価の指針や要求される対策レベル基準 に従って情報資産の管理者はリスク評価と対策検討を行うことになるであろう。この場合、 図 3 では配慮する必要のない課題についても合わせて検討していく必要が生じると考えら れる。 第一の課題は、リスク所有者の示す方針と情報資産の実態が整合しない場合の取り扱い である。特に方針に従うと管理者などに過剰な負担が発生したり、予想外のコストが見込 まれる場合の調整方法などを整備しておかなければうまく機能しなかったりすることが予 想される。 第二の課題は、リスク所有者が複数となる場合、各々の示す方針が整合しないことが予 想されることである。そのためには、あらかじめリスク所有者間の調整を図ったり、整合 しない場合の取り扱いプロセスを整備したりといった検討が必要とされるであろう。 第三の課題は、リスク所有者が ISMS 適用範囲内から外れる場合の取り扱いである。こ の場合、リスク所有者はこれまでの ISMS 活動の内容を把握していない可能性が高いため、 ISMS 適用範囲に含めるためには相応の期間を必要とするであろう。 図 図図 図 4444 新規格による新規格による新規格による新規格による情報セキュリティ情報セキュリティ情報セキュリティ情報セキュリティリスクの特定と対策検討の流れ(一例)リスクの特定と対策検討の流れ(一例)リスクの特定と対策検討の流れ(一例) リスクの特定と対策検討の流れ(一例) 図 4 はあくまでも例示であり、このような意思決定プロセスとすることが新規格上で求 められているわけではない。図 3 のように情報資産の管理責任者をそのままリスク所有者 としても特段問題は発生しない組織も存在しうる。重要なことは、組織として認識すべき 情報ア リスク所有者 情報イ 情報エ 情報ウ リスク所有者 ・部署A あるいは ・プロジェクトA あるいは ・業務フローA 等 情報 情報 情報 情報セキュリティリセキュリティリセキュリティリセキュリティリ スク対応計画 スク対応計画 スク対応計画 スク対応計画 残留情報セキュリ 残留情報セキュリ 残留情報セキュリ 残留情報セキュリ ティリスク ティリスク ティリスク ティリスク ・部署B あるいは ・プロジェクトB あるいは ・業務フローB 等 リスクA リスクB 資 産 (例 :ク ラ ウ ド サ ー ビ ス α ) 資 産 (例 :シ ス テ ム β ) 管理責任者 管理責任者 承 認 承 認 対策検討A 対策検討B
6 全般的リスクを情報資産のリスク評価に適切に反映できるマネジメントシステムを構築す ることである。 1.4 附属書 A の管理策の取扱いの変更 旧規格から新規格への改訂と同時に ISO/IEC 27002:2005(情報技術-セキュリティ技術 -情報セキュリティ管理策の実践のための規範)から ISO/IEC 27002:2013 に改訂された。 これにより、ISO/IEC 27002 に由来する附属書 A の内容も表1に示すようにカテゴリー数、 管理目的数、管理策数が変更となった。 表 表 表 表 1111 カテゴリー数、管理目的数、管理策数の変更カテゴリー数、管理目的数、管理策数の変更カテゴリー数、管理目的数、管理策数の変更状況カテゴリー数、管理目的数、管理策数の変更状況状況状況[[[[4444]]]] ISO/IEC ISO/IECISO/IEC
ISO/IEC 27001:200527001:200527001:200527001:2005 ISO/IECISO/IEC 27001:2013 ISO/IECISO/IEC27001:2013 27001:2013 27001:2013
カテゴリー 11 14 管理目的 39 35 管理策 133 114 管理策の変更の内訳は、旧規格の管理策の複数が統合され1つとなった管理策、旧規格 の管理策の趣旨が大部分引き継がれているが一部変更されている管理策、新設された管理 策(表 2)、技術的管理策を中心に他の ISMS ファミリー規格への移管に伴い旧規格から削 除された管理策(表 3)である。表 2、表 3 より新規格の附属書 A はよりマネジメントの 色合いの強いものになったといえる。 表 表 表 表 222 2 新設された管理策新設された管理策新設された管理策新設された管理策[[[[5555]]]] A.6.1.5 プロジェクトマネジメントにおける情報セキュリティ A.12.6.2 ソフトウェアのインストールの制限 A.14.2.1 セキュリティに配慮した開発のための方針 A.14.2.5 セキュリティに配慮したシステム構築の原則 A.14.2.6 セキュリティに配慮した開発環境 A.14.2.8 システムセキュリティの試験 A.15.1.1 供給者関係のための情報セキュリティの方針 A.15.1.3 ICT サプライチェーン A.16.1.4 情報セキュリティ事象の評価及び決定 A.16.1.5 情報セキュリティインシデントへの対応 A.17.1.3 情報セキュリティ継続の検証、レビュー及び評価 A.17.2.1 情報処理施設の可用性
7 表 表 表 表 333 3 旧規格から削除旧規格から削除旧規格から削除旧規格から削除された管理策された管理策された管理策された管理策 A.6.1.2 情報セキュリティの調整 A.6.1.4 情報処理設備の認可プロセス A.6.2.1 外部組織に関係したリスクの識別 A.6.2.2 顧客対応におけるセキュリティ A.10.4.2 モバイルコードに対する管理策 A.10.8.5 業務用情報システム A.10.9.3 公開情報 A.10.10.2 システム使用状況の監視 A.11.4.2 外部から接続する利用者の認証 A.11.4.4 遠隔診断用及び環境設定用ポートの保護 A.11.4.6 ネットワークの接続制御 A.11.4.7 ネットワークルーティング制御 A.12.2.1 入力データの妥当性確認 A.12.2.2 内部処理の管理 A.12.2.3 メッセージの完全性 A.12.2.4 出力データの妥当性確認 A.12.5.4 情報の漏えい A.14.1.4 事業継続計画策定の枠組み A.15.1.5 情報処理施設の不正使用防止 A.15.3.2 情報システムの監査ツールの保護 また新規格と旧規格では、附属書 A を用いての管理策の選定と決定の方法の趣旨が異な る。旧規格では附属書 A から管理策を選び不足する場合は他から追加する。新規格では管 理策を任意の情報源より決定したり、あるいは独自に設計したりすることも認められてお り、決定した内容を附属書 A と比較し、必要な管理策の不足がないかを確認し、不足があ る場合は附属書 A から追加することとなっている。したがって例えば、旧規格の附属書 A から削除された管理策の取扱いに迷う場合は、新規格用に更新する適用宣言書に残してお いても、削除してしまってもいずれでも構わないということとなる。 以上より、新規格となり管理策の選定や設計の自由度が増しており、この面でも汎用的 な規格になったといえる。またこのために、ISO では業界固有等のガイドライン規格の整 備も進められてきている。組織にとってより適切な ISMS を構築するためには、管理策の 選定や設計に留意を払うべきである。その理由はそれを外部にうまくアピールすることが できれば、利害関係者から得られる信頼のさらなる強化にも役立つためである。
8
2.
移行対応にあたって
これまでにおいて、新規格はどのような事項にポイントを置いて改定されたのかについ て述べてきた。以降は、実際の移行において留意すべき事項を中心に解説する。移行作業 は、大筋において図 5 に示す流れになると考えられる。すなわち、新旧の規格の差異を理 解し、それに基づく作業スケジュールを明らかにし、移行作業を推進したうえで、審査を 受ける。 図 図 図 図 5555 移行対応の流れ移行対応の流れ移行対応の流れ 移行対応の流れ 以降において、図 5 の(手順 2)対応方式(大日程)の決定、(手順 3)ギャップ分析の実 施、(手順 5 の一部)リスク評価方法の見直しについてそのポイントを説明する。 2.1 移行審査(差分審査)の対応方式(大日程)の決定 JIPDEC の移行計画の発表によると、新規格への移行期限は 2015 年 10 月 1 日と定めら れている。2015 年 10 月 1 日時点で旧規格に基づく認証文書は有効ではなくなるため、そ れまでに新規格に基づく新しい認証文書が発行されている必要がある。現状、認証資格は 毎年認証機関による維持審査あるいは再認証審査(以後「維持審査等」という。)が行われ ているため、このタイミングに合わせて移行審査を受けることが望ましいとされている。 新旧規格の差異の理解 対応方式(大日程)の決定(2.1) ギャップ分析の実施(2.2 ) 移行計画の策定 移行対応の推進(リスク評価方法の見直 し(2.3)、文書改訂、適用宣言書の見直し 等) 運用、評価・改善、マネジメントレビュー 移行審査受審 (手順1) (手順4) (手順5) (手順6) (手順7) (手順3) (手順2)9 しかしながら、実際の移行作業に相当する図 5 の手順 3 から手順 6 に要する期間と次回の 維持審査等までに残された期間に大きな相違がある場合、以下のオプションが存在する。 オプション(1) :移行期限後に予定されている維持審査等の実施時期を審査機関と調整して 早めてもらい、移行審査を含めた維持審査等を行う。 オプション(2):サンプリング部署等に対する移行審査を個別に実施する。 オプション(1)は、本来であれば 12 か月を基本としてきた ISMS の運営サイクルの間隔が 短くなる点に注意が必要である。短縮される期間によっては、年間で予定していた PDCA サイクルの見直しが必要となることも予想されるので、その影響との兼ね合いでオプショ ン(1)の採用を検討する必要があろう。 オプション(2)は ISMS 適用範囲内の部署等から一部を切り出して先行的に新規格に移行 するという考え方である。この方式であれば、現状の ISMS 適用範囲の全文書の見直しを する必要がなく先行的に移行する部署等に関連するもののみ見直しをすれば良いことにな るため、移行期限までに見直しを実現できる可能性がある。その上で、順次範囲を拡大し ながら必要な文書の見直しを行っていけば、それほど遠くない将来において新規格への移 行を完成させることができる。ただし、一時的にせよ組織内に複数のルールが確立するこ とによって発生する混乱なども予想されるため、こうしたデメリットとの兼ね合いでオプ ション(2)の採否を決めるべきであろう。 2.2 ギャップ分析の実施 ギャップ分析の目的は新規格への組織の ISMS の適合状況を明らかにし、対応すべき事 項(情報セキュリティ対策の見直し、ISMS 文書の見直し等)を把握することである。ギャ ップ分析の方法として次の 2 種類が考えられる。 方法 A:新規格へ組織の ISMS の適合状況を直接照合する 方法 B:旧規格と新規格の対応関係を把握し、組織の ISMS の旧規格への適合状況の見え る化した結果を付き合わせて、組織の ISMS の新規格への適合状況を照合する 各々の分析イメージを図 6 に示す。
10 図 図図 図 6666 ギャップ分析方法の違いギャップ分析方法の違いギャップ分析方法の違いギャップ分析方法の違い 方法 A は、直接的に新規格の要求事項と ISMS 文書などを照合できるため、効率的に見 えるが、新規格の内容について十分な理解が進んでいることが求められる。用語やコンセ プトが更新されている事項も存在しており、新旧規格の対応関係を全体的に深く理解して いなければ真に理解することはできないであろう。また項目数の多さゆえにかなり煩雑な 作業となる可能性がある。 方法 B は新規格と旧規格の対応表が存在しているためそれを参考に対応を進めることが できる。そのため、新規格について十分な理解がなくとも旧規格に基づいて整備された ISMS のどの部分を見直すべきかがわかりやすい。新旧規格の対応関係の理解を同時に進め て行きながら、地道に進めていけば無難に分析を完了することができるであろう。 2.3 リスク評価方法の見直し 新規格になり明示的に追加となった全般的リスク評価を組織の ISMS でどのように位置 づけるかが検討のポイントとなる。2 種類の考え方の例を図 7 に示す。 1 つ目の例は、全般的リスク評価を情報セキュリティリスク評価の上位に位置づけるとい うものである。すなわち全般的リスク評価の枠組みによって ISMS 適用対象である情報資 新規格 ISO/IEC27001 :2013 組織の ISMS 適合状況を網羅的に把握 できていることが前提 新旧規格の差分対応表 方法A 方法B 旧規格 ISO/IEC27001 :2005 新旧規格の差異 を網羅的に把握 できていることが 前提 項目数が多い(200以上)の ため、直接的な付き合わせ は煩雑 新規格 ISO/IEC27001 :2013 旧規格 ISO/IEC27001 :2005 組織の ISMS 旧規格 ISO/IEC27001 :2005 適合状況が、わかっていな い場合は、順に確認する。 新旧規格の差分を順に理解 しながら、また旧規格への適 合状況を確認しながら、順次 分析を進める。
11 産の情報セキュリティリスクと全般的リスクの受容基準を可視化するような考え方である。 この考え方のメリットはより本質的なリスクマネジメントを行えることがあげられる。組 織はもともと、設立された段階でその特性に応じた全般的リスクと直面している。情報セ キュリティリスクとは、その組織が保有する情報資産について機密性・可用性・完全性の 喪失によりその組織の全般的リスクの発現ととらえることで、より本質的なリスクマネジ メントが可能になると考えられる。しかしながら、この考え方を忠実に実現しようとする と経営層やそれを支えるスタッフ部門が必要となる可能性が高い。したがってこの考え方 は、理解のある経営陣により強力にリスクマネジメントが推進されている組織にとっては 有効であるが、情報セキュリティはあくまでも情報システムとそれに関連する周辺事項の 問題ととらえている組織にとっては取扱いが難しい問題となるであろう。 2 つ目の例は、情報資産ごとの情報セキュリティリスクを評価する際に、全般的リスク評 価の視点も合わせて実施するものである。この考え方であれば、資産の管理責任者がこれ まで行ってきたリスクアセスメント実施の枠組みに全般的リスク評価の視点を付加すれば よいため、リスクアセスメント実施の枠組みが大幅に変わることはない。ただし、追加さ れた全般的リスク評価の視点に基づく評価が管理責任者の裁量にゆだねられることとなる。 そのため、管理責任者の行うリスクアセスメントが経営陣にとって望ましい枠組みや方法 となるように教育研修や評価基準指針などの管理責任者をバックアップする仕組みを欠か すことができないであろう。 図 図図 図 7777 全般的リスク評価をどのように位置づけるか全般的リスク評価をどのように位置づけるか全般的リスク評価をどのように位置づけるか全般的リスク評価をどのように位置づけるか 新規格では、全般的リスクの取扱いおいてどのような解釈が望ましいといった記述は存 資産 資産 資産 資産 •事業プロセス •事業活動 •情報 •ハードウェア •ソフトウェア •ネットワーク •要員 •サイト •組織の構成 情報セキュリティリスク評価 (情報セキュリティ目的に対する 不確かさの影響の評価) リスク受容基準 リスク実施基準 ・ベースラインアプローチ ・ベースラインアプローチ・ベースラインアプローチ ・ベースラインアプローチ ・非形式的アプローチ ・非形式的アプローチ ・非形式的アプローチ ・非形式的アプローチ ・詳細リスクアセスメント ・詳細リスクアセスメント ・詳細リスクアセスメント ・詳細リスクアセスメント 情報セキュリティのリスク基準 全般的リスク評価 (事業や組織運営全般の目的に 対する不確かさの影響の評価) 資産ごとの評価 資産ごとの評価資産ごとの評価 資産ごとの評価 1つ目の考え方つ目の考え方つ目の考え方つ目の考え方 2つ目の考え方つ目の考え方つ目の考え方つ目の考え方
12 在しないため、それをどのように解釈して取扱うかについては組織に完全に委ねられてい る。したがって、ISMS の適用範囲の組織上の特性などをもとに最も実効性のある方法でリ スク評価を実施すべきと考える。
おわりに
本書では、改訂された新規格の特徴として ISO MSS の影響等を元に、用語やコンセプト が新しくなったこと、トップマネジメントの関与が強化されたこと、「リスク」の考え方の 変更、リスク対策立案プロセスとリスク所有者を考慮する際の情報セキュリティガバナン ス上の想定される課題、管理策の取扱い上の考慮点等について述べた。 また移行対応にあたって特に留意すべきであろう点について述べた。 ISO/IEC27001 はマネジメントシステム規格であるため、規格の解釈方法と ISMS への 実装は組織の方針によるところとなるが、規格改訂の趣旨を踏まえよりよい経営を実現す るためのツールとするため、本書を参考にしてもらえると幸いである。参考文献
[1]一般財団法人日本情報経済社会推進協会 情報マネジメント推進センター,ISO/IEC 27001:2013 へ の 移 行 計 画 に つ い て ,2013 年 10 月 29 日 改 訂 , http://www.isms.jipdec.or.jp/ikou/27001_2013/ISO_IEC_27001_2013_transition.pdf [2]ISO/TMB/TAG 対応国内委員会事務局,ISO マネジメントシステム規格の整合化に関し て(ISO/TMB/TAG13-JTGC の動向),2012 年 5 月, http://www.jsa.or.jp/stdz/mngment/PDF/mns_4.pdf [3]ISO/IEC27001:2013 情報技術-セキュリティ技術-情報セキュリティマネジメントシ ステム-要求事項 英和対訳版,日本規格協会 [4]ISO/IEC27002:2013 情報技術-セキュリティ技術-情報セキュリティ管理策の実践の ための規範 英和対訳版,日本規格協会[5]JTC 1/SC 27/SD3 – Mapping Old-New Editions of ISO/IEC 27001 and ISO/IEC 27002, http://www.jtc1sc27.din.de/cmd?level=tpl-bereich&languageid=en&cmsareaid=wg1sd3
13 - 禁無断転載 - ISO/IEC 27001:2005 ISO/IEC 27001:2005 ISO/IEC 27001:2005 ISO/IEC 27001:2005 認証取得済み組織の認証取得済み組織の認証取得済み組織の認証取得済み組織の ISO/IEC 27001:2013 ISO/IEC 27001:2013 ISO/IEC 27001:2013 ISO/IEC 27001:2013 への移行のための対応への移行のための対応への移行のための対応への移行のための対応 発行 2014 年 7 月 発行人 みずほ情報総研株式会社 経営・IT コンサルティング部 コンサルタント 牛尾 浩平 住所 101-8443 東京都千代田区神田錦町 2-3 竹橋スクエアビル Tel:03-5281-5298 E-mail: kohei.ushio@mizuho-ir.co.jp
