ISMSとは
ISMS 規格の概要「ISMSー情報セキュリティマネジメントシステムー」とは、これまでに御社でも行われてきた、さまざまなセキュリティ対策を、組織として全体最適化する仕組みのことです。
組織がセキュリティの確保を何のために行っているかといえば、自社の経営のためです。どの企業も経営上意味のあるセキュリティレベルをムダのない資源配分で確保したいと考えます。
ところが、セキュリティは複数の対策を上手に組み合わせることではじめて確保されます。また、たちの悪いことにセキュリティ対策には、どうしても人物金の投下が必要です。さらに、セキュリティへの意識は人員ごとにばらつくことが多く、組織立てた対策をしないと漏れや抜けが発生してしまいます。
たとえば、高価なセキュリティ機器を導入したにも関わらず、社員への周知が足らず、利用者がその機能を迂回するような業務をしてしまったらどうでしょうか。
これでは期待したレベルは達成できませんし、高額の投資も無駄となってしまいます。
事業に役立つ適切なセキュリティ対策を行うためには、「なぜ?」セキュリティなのか、「どこで?」セキュリティなのか、「どのように?」セキュリティを実現するのか自社内で体系的、論理的に整理をおこなっていくことが不可欠です。
ISO27001は、自社がどんなセキュリティ上の障害(リスク)に取り囲まれているのかその状況を正確に把握して、なぜ、どこで、どのレベルまでセキュリティ対策をするのか、そして対策した結果から「何を学んでいく」のか、学んだ結果をどのように「生かす」のか、という一本の論理的な考え方の筋道(PDCAの筋道)を提示しています。
この筋道に従うことで、御社は、“ムリ・ムダ・ムラ”を配したセキュリティ対策の最適化を進めることができます。
以下では、このISMSの規格の構成に従って、その概要を説明します。
ISMSの確立/まずはじめに意味のあるセキュリティを実現するために一番はじめに考えなければならないのは、
-自社がどのような事業をおこなっていて
-その事業で取り扱う業務情報(設計書や契約書、請求書、伝票、顧客リストなど)や業務情報を処理するために使う資産(サーバやネットワーク,ソフトウェア、通信等のサービスなど)をもっていて
-各情報や資産に対して株主や顧客や社会(法律等を含む)といった利害関係者から情報セキュリティ上どのような要求があるか
検討することです。
この点をきちんと考えないと、「ウチの会社のどの事業と、そこで利用される業務情報やその他の資産について、どのレベルまで保護をしていこう!」といったマネジメントする範囲やレベル、そして方針が見えてきません。
ISMSの確立/適用範囲を決める、方向付けるところで、事業を行うには、当然、「事業所」「組織」「事業を行うために必要な資産や技術」が必要になります。
ですから当然、ISMSの範囲を決めるときにも、事業所所在地や関連する内外の組織、資産や技術に配慮しなければなりません。その上で、「ここからここまで!」と御社と御社の事業に利害関係を持つ方々にとって意味のある範囲を決定します。
ISMSの確立/現状を分析評価し、具体的な対策を計画全般的な方向が明文化されたら、つぎはどのように具体的に活動していくのか計画を立てる必要があります。
(リスクアセスメント)
ISMSではリスクアセスメントという方法を用いて、自社のセキュリティリスクを把握します。
自社の業務情報や業務情報を処理するために利用する資産各々にどのようなセキュリティ上の問題点(リスク)がやどっており、自社は、そのリスクに対してどのような対処をしていくのか、決めていくのです。
次の3つをリスクの構成要素として分析評価をすすめます。
-資産
資産には、情報、情報を記録する媒体、情報処理/保管する装置や設備、施設、外部から提供されるサービスが含まれます。
-脅威
脅威は、資産に影響を与え価値の減損や、損害を引き起こす原因のことです。不正利用、誤送信、誤操作などイメージしてください。
-脆弱性
脅威の発生を助長するような管理上の欠陥欠落のことです。たとえば、紛失という脅威に対して、保管場所が決まっていないということは、脆弱性として特定されます。
(リスク対応の意志決定)
リスクアセスメントを終えたら、分析評価したリスクに対してどのような対応を行うのか意志決定します。
-リスク低減 「リスクに対して適切な管理方法を適用する」
-リスク回避 「該当資産の取り扱いをやめる、業務をやめるなど」
-リスク移転 「保険をかけたり、アウトソーシングしたりすることで、リスクを移転する」
-リスク受容 「事業上の判断で、あえてそのままリスクを受け入れる」
という4つの選択肢の中から選択します。
(リスク対応策の選択)
つぎに選択した対応を具体的に展開するために、管理目的(リスク対応に適した具体的対策実施の方向付けあるいは理由)、管理策(管理目的に対応したより具体的な対策)を設定します。
ISO27001には、付属書に管理目的、管理策として、具体的対策グループが提示されていますから、このグループ内からリスク対応に応じた管理目的、管理策を選択します。もちろん自社独自の管理目的管理策を新たに追加することもできます。
(分析評価結果、運用の経営者承認)
管理目的、管理策を適用した場合に予想できる自社のリスク状況(残留リスク)について、経営陣の承認を得ます。
また、現在適用しようと計画している管理目的管理策を用いてISMSの運用を開始するか否か運用許可を合わせて取得します。
個別の対策は現状調査、現状評価を踏まえた、方針を実現するためのものです。よって残留リスクや運用許可は、その対策の良し悪しを、方針を立てた経営者自らが判断します。
(適用宣言書)
計画の最後に選択すべき管理目的、管理策がもれなく適用されるように計画立案されているか否かを明確にするため、適用宣言書を作成します。
ISMS導入及び運用/リスク対応計画リスク対応計画を策定します。
リスク対応計画とは、個別の対策を実現するための計画表と考えていただければよいでしょう。実施事項や、必要な経営資源、優先順位、責任者、期限などをまとめます。通常、対策導入に期間を要する対策群や、優先度の高い対策群に対してこの計画を策定します。
セキュリティ対策は複数を組み合わせてはじめて意図した成果を上げる場合が多くありますから、このリスク対応計画で確実に対策を日々の活動に落とし込みます。
ISMS導入及び運用/対策実施手順の策定ISO27001規格には「文書化」を求める文書や計画がいくつかあります。
合わせて、情報セキュリティ管理を有効に計画、運用するために必要と考えた文書についても、「文書化」が必要です。
(管理策実施のための詳細手順)
これには各対策を実際にどのように実行していくか、つまり「対策実施手順」を文書化することも含まれます。もちろん、どの程度までこの手順を文書化するのかは組織の必要性によってくるのですが、各対策の実行には多数の関係者が関与することになりますから、再現性のあるように、少なくとも管理上、肝となる要素を文書化し、手順を実施する人員であれば誰もが確実に対策を実行できるように手順を整えることになるでしょう。
(管理策有効性測定手順)
さて、対策の実施手順を策定したら、次にその対策が有効に機能しているか否か測定し、測定した結果を活用するための手順を策定します。
「やりっぱなし」「ムリ・ムダ・ムラ」を放置しないためです。対策を実施するためには当然人、物、金、情報が必要になります。経営資源を効果的に配分するためには、対策の有効性を測定して、その結果を踏まえて測定の方法や、対策の実施方法などを改善していく必要があります。
(インシデント対応の組織と手順)
さらに、情報セキュリティ事象を検知し、セキュリティインシデントに対応するための手順を整備しておきます。情報セキュリティ対策には「完全」「完璧」はありません。ですから、情報セキュリティ上の問題点や障害についてすばやく検知して、対応する体制を準備しておくことが必要なのです。
(教育計画の立案と実施)
次に、教育プログラムを策定して実施します。手順あるいは、施設や設備をリスク対応計画に基づいて導入しても、それに基づいて活動する人員が正しい活動を行えなければ意味がありません。ですから、計画を立てて必要な教育・訓練・周知を行います。ISMSの監視及びレビュー/監視・レビューの実施活動の誤り、インシデントの兆候やその発生を検知特定できるようにして、セキュリティに対応した活動が期待通りであるか経営陣が判断できるようにします。
また、セキュリティ違反を解決するための処置をおこないます。こうした処置をとった場合には、処置の結果がセキュリティ違反の解決に有効の有無を判断しなければなりません。このような活動を、「監視」や「レビュー(見直し)」といいます。
ISMSの監視及びレビュー/定期レビュー・内部監査これまで計画して実施してきたISMSが有効に機能しているか否か、定期的にレビューを行います。
ところで、なぜ、前項で監視とレビューといっておきながら改めて定期レビューなのでしょうか?
定期レビューの対象は、「ISMSの有効性」とされています。「ISMSの有効性」のレビューとは、計画して実施してきたISMS全体が方針や目的あるいは目標に対して正しく機能しているか否か、そして採用した対策(管理策)が管理目的に対して正しく機能しているか否か評価をすることを言います。
定期レビューは、ISMS全体にかかわるレビューですから上位の意志決定者が、さまざまな情報を考慮して総合判断を行わなければなりません。また、定期レビューの結果は今後のISMS活動全般を方向付けますから、活動の結果を正確に踏まえた意志決定が必要です。判断を行うに足る活動結果情報を取得するにはある程度の期間をおく必要があります。
日常のISMS運用活動の監視やレビューとは「立ち位置」「視点」が違うわけです。
だから定期的なレビューを前項とは別に置く必要があるわけです。
定期レビューでは、セキュリティ監査の結果も配慮すべき事項の一つとされていますが、内部監査も定期的に行う必要があります。
内部監査では自分の担当する仕事以外の他者の行う仕事を監査します。内部監査を行う人員を「内部監査員」といいます。内部監査員は経営陣になりかわって、実際のISMS活動を評価し、その結果を経営陣に報告する役目を負います。
以上、日常活動に組み込んで実施する監視とレビュー、定期レビュー、内部監査をつうじて、走り始めたISMSの状況を確認し、必要な改善の糸口を探っていきます。
こうした活動は記録に残します。
ISMSの維持及び改善/是正と予防監視とレビュー、定期レビュー、内部監査で確認された改善事項は、検出した問題の根本的な原因を追及して、その問題点「不適合」を除去することで改善されなければなりません。(是正といいます)また不適合の発生予防の観点から潜在する不適合を除去する「予防」も実施していきます。
経営陣のコミットメント経営陣(経営資源ヒト、モノ、カネ、情報の提供者、適用範囲組織の最終責任者)が積極的にISMSに関与することが重要です。
ISMSは組織運営の仕組みですから、経営資源の配分がどうしても必要です。
また最終的な責任権限をもつ人員が方針を立ててその実施管理をしなければ、組織は方向性を見失います
。ダブルスタンダード、トリプルスタンダードが横行すれば、セキュリティレベルの確保は当然危ういものとなるでしょう。
経営陣は次のような役割を果たさなければなりません。 ISMSのPDCAのあらゆる局面で経営陣のコミットメントが必要です。
1. 基本方針を立てる
2. ISMSの目的、計画の確立を確実にする
3. 情報セキュリティ上の役割責任を配分する
4. 情報セキュリティの重要事項を組織に周知する
5. ISMSのPDCAを確立するための資源を提供する
6. リスクの受容基準、受容レベルを決める
7. 内部監査を実施させる
8. マネジメントレビューを実施する文書化に関する要求事項、文書管理、記録の管理適用範囲、基本方針からリスクアセスメントを経て個々の対策群までの流れに矛盾があってはいけません。
矛盾があると体系的な管理からの逸脱を招きます。
またISMSは組織運営のための仕組みですから、組織の構成員間での実施事項のばらつきが発生しないように注意する必要があります。このことにより、JISQ 27001はISMSの核となる要素については文書化を求めていることが明確になっております。
一方、こうした文書を管理するための要求事項もあります。
個々の文書の新旧や、作成承認権限などが決まっていないと、手順の誤りなどから思わぬセキュリティ事故の発生を招きますので、文書(記録)は定められた方法で管理します。
また、ISMSの運用記録も運用の証拠として保持しなければならないとされおり、やりっぱなしを防ぐためにはやはり記録は欠かすことはできません。
また、文書管理、記録管理の方法は文書化が必要になります。まとめ以上規格の構成を説明してきました。
要は、次を繰り返すことがポイントです。
-自社に課せられたセキュリティ上の要求を把握する。
-どこまで何をやりたいか決める。
-現状の分析と評価を行う。
-対策の実施する。
-成果を検証する。
ISMS認証サービスは次の担当からご案内申し上げます。
国際システム審査株式会社 ISMS認証サービス担当
TEL: 03-3319-9029
Email:isms@isa-cb.co.jp