見出し画像

ISMS規格本文/7.支援について解説

エンジニアブログ by DENKOSHA

はじめに

情報セキュリティマネジメントシステム(ISMS)は、組織が情報資産を保護し、リスクを適切に管理するためのフレームワークです。ISO/IEC 27001は、このISMSの構築と運用に関する国際的な規格であり、2022年の改訂により、さらなる進化を遂げました。この規格の中で「支援」に関する第7章は、ISMSの実効性を高めるために必要な要素について述べています。組織がISMSを成功させるためには、適切なリソース、従業員の能力、認識、コミュニケーション、文書化が重要となります。本記事では、ISO 27001:2022の第7章に焦点を当て、それぞれの要素について詳しく解説していきます。

7.1 資源

ISMSを効果的に運用するためには、適切な資源の配分が必要です。ここで言う資源とは、人員、技術的インフラ、財政的支援、そして時間を含みます。ISO 27001:2022では、組織がリスク管理と情報セキュリティを確実に実行できるよう、十分かつ適切な資源を提供することが求められています。

資源の適切な割り当ては、リスクの特定、評価、対応のプロセスに直接影響します。例えば、組織が十分な技術的資源を持っていない場合、セキュリティホールが生じ、結果的に脅威に対して脆弱になる可能性があります。そのため、各リスクの特性に応じた資源の割り当てが重要です。また、人員に関しては、専門知識を持つ担当者を配置することが求められ、これには定期的な研修や能力開発も含まれます。

7.2 力量

「7.2 力量」では、情報セキュリティに関連する業務を担当する従業員が、必要な知識とスキルを持っていることが求められます。ISO 27001:2022では、組織が従業員の能力を確認し、必要に応じてトレーニングや教育を提供することが義務付けられています。これにより、担当者がセキュリティリスクを適切に評価し、対応するための知識を保持することが確保されます。

能力は単なる技術的スキルにとどまらず、情報セキュリティの方針や手順の理解、そしてこれを実行するための実践的な知識を含みます。たとえば、新しい技術が導入される場合、担当者がその技術を安全に運用できるかどうかを確認するためのトレーニングが不可欠です。また、外部ベンダーやパートナー企業とも連携する際に必要な能力も考慮する必要があります。

7.3 認識

「認識」とは、組織内の全従業員が、情報セキュリティの重要性を理解し、自分の役割を自覚している状態を指します。ISO 27001:2022は、情報セキュリティに対する組織全体の認識を高めるための措置を講じることを求めています。これには、定期的な啓発活動や、情報セキュリティに関するポリシーの周知徹底が含まれます。

具体的には、従業員が自分の業務がどのように情報セキュリティに影響を与えるのかを理解することが重要です。たとえば、簡単なパスワードの設定や、フィッシングメールへの対応が、重大なセキュリティインシデントに発展するリスクがあることを認識させることが求められます。このような認識を深めるために、組織は適切な教育や情報共有を実施する必要があります。

7.4 コミュニケーション

ISMSの成功には、組織内外での効果的なコミュニケーションが欠かせません。「7.4 コミュニケーション」では、情報セキュリティに関連する方針や手順、インシデントに関する情報を、適切なタイミングで関係者に伝達することが重要視されています。

効果的なコミュニケーションの手段としては、定期的な会議や報告書、電子メール、イントラネットなどが挙げられます。また、コミュニケーションは一方的なものではなく、双方向であることが重要です。従業員や関係者からのフィードバックを収集し、それを元に改善策を講じることで、より強固なセキュリティ体制を築くことができます。

さらに、コミュニケーションは外部のステークホルダーとも重要です。パートナー企業や顧客、規制当局との間で、情報セキュリティに関する適切な情報の共有を確保することは、組織全体のセキュリティレベルを向上させる一助となります。

7.5 文書化した情報

ISO 27001において、「文書化した情報」はISMSの有効性を証明し、組織内の情報セキュリティプロセスを明確にするために不可欠な要素です。文書化された情報は、方針、手順、計画、評価結果、運用の証拠など、ISMS全体を支える基盤です。

7.5.1 一般

「7.5.1 一般」では、文書化した情報がISMSの維持と改善において果たす役割について規定されています。組織は、情報セキュリティのために必要な文書を特定し、それを適切に管理する責任があります。文書化した情報には、規定されたプロセスや手順、リスク評価の結果、監査記録などが含まれます。

文書化は単なる記録の保持ではなく、これを基にして組織が情報セキュリティの現状を評価し、必要に応じて改善策を講じることを目的としています。そのため、文書化された情報は常に最新のものである必要があり、定期的に見直しが行われるべきです。

7.5.2 作成及び更新

文書化した情報の作成と更新については、組織内で明確な手順が定められています。文書が作成される際には、正確で完全であることが求められ、情報が更新された場合は、それが適切に反映されているかどうかが確認されなければなりません。文書の変更が必要となる状況には、内部の方針変更、外部規制の改訂、新たなリスクの発見などが挙げられます。

また、文書作成と更新のプロセスには、文書の版管理も含まれます。適切なバージョン管理が行われていないと、古い情報が流通してしまい、組織のセキュリティに悪影響を与える可能性があります。そのため、文書の更新履歴を管理し、最新版のみが使用されるようにすることが重要です。

7.5.3 文書化した情報の管理

「7.5.3 文書化した情報の管理」では、文書が適切に保管、保護され、必要に応じてアクセス可能であることが求められます。文書の管理には、文書が損傷、喪失、改ざんされないようにするための対策が含まれます。また、適切なアクセス権限が設定されていることも重要です。特定の文書には機密情報が含まれるため、これにアクセスできる人物が限定されている必要があります。

文書の保管期間についても規定があり、法的要件や業務上の必要に応じて、一定期間保持されることが求められます。さらに、不要になった文書

の廃棄手続きも明確に定められており、適切な手順に従って安全に廃棄されることが重要です。

まとめ

ISO 27001:2022の第7章「支援」は、ISMSを運用する上での重要な要素をカバーしています。適切な資源の配分、従業員の能力向上、組織全体の認識強化、効果的なコミュニケーション、そして文書化した情報の管理が、ISMSの成功に不可欠です。これらの要素を適切に整備することで、組織は情報セキュリティのリスクに対処し、セキュリティの確保と向上を図ることができます。

お知らせ

電巧社ではセキュリティ分野専門のブログも公開しています。ゼロトラストセキュリティを始めとした、ランサムウェアへの対処法等を紹介しています。こちらもよろしくお願いします。