ISMS規格本文/6.計画について解説
はじめに
情報セキュリティマネジメントシステム(ISMS)は、組織の情報資産を保護し、セキュリティリスクを管理するための枠組みを提供します。ISO/IEC 27001規格は、ISMSのフレームワークを提供し、その中でも第6章「計画」は、ISMSを効果的に運用するための重要な要素を含んでいます。本記事では、第6章「計画」について詳細に解説し、組織が情報セキュリティリスクを管理し、目標を達成するための具体的な手順を紹介します。
6. 計画
ISMSの「計画」プロセスは、情報セキュリティリスクを識別し、評価し、対応するための一連の手続きを確立することを目的としています。これにより、組織は情報セキュリティの目標を設定し、それを達成するための具体的な計画を策定することができます。
6.1.1 一般
本セクションでは、計画プロセスの全体像について説明します。組織は、情報セキュリティリスクを管理するための適切な手続きを確立し、その手続きが組織のビジネス目標と一致していることを確認する必要があります。具体的には、以下のポイントが重要です。
情報セキュリティリスクの識別:組織内外の環境を考慮し、リスクを包括的に識別します。
リスク評価の基準設定:リスクの影響度と発生確率を評価するための基準を設定します。
リスクマネジメントのプロセス:リスクの評価と対応策の決定を行うプロセスを確立します。
これらの手続きを定期的に見直し、必要に応じて改善することで、組織は継続的に情報セキュリティを強化することができます。
6.1.2 情報セキュリティリスクアセスメント
リスクアセスメントは、情報セキュリティマネジメントの核心となるプロセスです。ここでは、組織が直面する可能性のある情報セキュリティリスクを識別し、それぞれのリスクの影響度と発生確率を評価します。リスクアセスメントの具体的な手順は以下の通りです。
リスクの識別:情報資産、脅威、脆弱性を特定します。情報資産には、ハードウェア、ソフトウェア、データ、人材などが含まれます。
リスクの評価:識別されたリスクの影響度と発生確率を評価し、リスクの重大度を決定します。評価には定性的評価と定量的評価の方法があります。
リスクの優先順位付け:評価結果に基づいて、リスクの優先順位を決定します。優先度の高いリスクから対応策を講じることが重要です。
リスクアセスメントの手法は、組織の特性や業界のベストプラクティスに基づいて選定されるべきです。また、リスクアセスメントは定期的に実施し、変化する環境に対応することが求められます。
リスク識別の例
内部脅威:
リスク:内部の従業員によるデータの不正アクセスまたは漏洩。
脅威:不満を抱えた従業員、過失によるデータ漏洩。
脆弱性:アクセス制御の不備、従業員の教育不足。
外部脅威:
リスク:ハッキングによるデータの盗難。
脅威:サイバー攻撃者、マルウェア。
脆弱性:ネットワークセキュリティの不十分さ、ソフトウェアの脆弱性。
物理的脅威:
リスク:オフィスへの不正侵入によるハードウェアの盗難。
脅威:窃盗犯、自然災害。
脆弱性:物理的セキュリティの欠如、防災対策の不備。
リスク評価の例
以下は、上記のリスクについて影響度と発生確率を評価する例です。
内部脅威:従業員によるデータの不正アクセス:
影響度:高(機密情報の漏洩は企業の信用失墜や法的問題につながる可能性がある)
発生確率:中(従業員の教育やアクセス制御の強化により発生確率は下げられるが、完全には防げない)
外部脅威:ハッキングによるデータの盗難:
影響度:高(大量のデータが流出した場合、顧客への影響や法的罰則が発生する可能性がある)
発生確率:高(サイバー攻撃は頻繁に発生しており、特に標的型攻撃の場合、発生確率は高まる)
物理的脅威:オフィスへの不正侵入:
影響度:中(物理的なデータやハードウェアの盗難は業務に影響を与えるが、デジタルデータのバックアップがある場合、影響は限定的)
発生確率:低(物理的セキュリティ対策がしっかりしていれば、発生確率は低い)
6.1.3 情報セキュリティリスク対応
リスクアセスメントの結果を元に、組織は情報セキュリティリスクに対する対応策を決定します。リスク対応の方法には、以下のようなものがあります。
リスクの回避:リスクを完全に避けるための措置を講じます。例えば、高リスクの活動を中止するなどです。
リスクの削減:リスクの影響度や発生確率を低減するための対策を講じます。これは、技術的な対策や手続きの改善によって実現されます。
リスクの共有:リスクを第三者(例えば、保険会社)と共有します。これは、リスクの一部を転嫁することを意味します。
リスクの受容:リスクの影響度が許容範囲内である場合、そのリスクを受け入れることもあります。
組織は、各リスクに対する最適な対応策を選定し、実施することが求められます。また、リスク対応策の効果を定期的に評価し、必要に応じて改善することも重要です。
リスク対応の例
内部脅威に対する対応:
対策:従業員に対する定期的なセキュリティ教育を実施し、アクセス制御を強化する。
効果:従業員の意識向上と不正行為の抑制。
外部脅威に対する対応:
対策:最新のウイルス対策ソフトウェアを導入し、ファイアウォールの設定を強化する。定期的なセキュリティパッチの適用。
効果:サイバー攻撃のリスクを低減。
物理的脅威に対する対応:
対策:オフィスの物理的セキュリティを強化し、防犯カメラの設置や入退室管理システムを導入する。
効果:物理的な不正侵入のリスクを低減。
6.2 情報セキュリティ目的及びそれを達成するための計画策定
組織は、情報セキュリティに関する具体的な目標を設定し、その目標を達成するための計画を策定する必要があります。目標は、組織のビジネス目標と整合している必要があり、測定可能であり、実現可能であるべきです。計画には、以下の要素が含まれます。
目標の設定:情報セキュリティの目標を具体的に定義します。例えば、「データ漏洩の件数を年間10%削減する」といった具体的な目標です。
計画の策定:目標を達成するための具体的な手順を計画します。計画には、必要なリソース、スケジュール、責任者などが含まれます。
進捗のモニタリング:目標達成の進捗を定期的にモニタリングし、必要に応じて計画を調整します。進捗を測定するための指標を設定し、定期的にレビューすることが重要です。
これにより、組織は情報セキュリティの目標を効果的に達成することができます。
計画策定の例
1. リスク識別フェーズ
目的:組織が直面する可能性のある全ての情報セキュリティリスクを特定し、文書化する。
ステップ1: リスク識別チームの編成
担当者: セキュリティチーム、IT部門、各業務部門の代表者
期限: 1週間
ステップ2: リスクアセスメントの実施
方法: ワークショップ、インタビュー、アンケート
期限: 2週間
ステップ3: リスクの文書化
アウトプット: リスク一覧表の作成
期限: 1週間
2. リスク評価フェーズ
目的:識別されたリスクの影響度と発生確率を評価し、優先順位を設定する。
ステップ1: 評価基準の設定
担当者: セキュリティチーム
期限: 1週間
ステップ2: リスク評価ワークショップの実施
方法: 各リスクについて影響度と発生確率を評価
期限: 1週間
ステップ3: リスクマトリックスの作成
アウトプット: リスクの優先順位リスト
期限: 1週間
3. リスク対応フェーズ
目的:評価されたリスクに対する適切な対策を策定し、実施する。
ステップ1: 対策の検討と選定
担当者: セキュリティチーム、IT部門、各業務部門の代表者
期限: 2週間
ステップ2: 対策の実施計画の策定
内容: 対策の具体的な手順、責任者、期限を明記
期限: 1週間
ステップ3: 対策の実施
担当者: 各対策ごとの責任者
期限: 1ヶ月
4. リスク管理フェーズ
目的:リスク評価と対応策の効果を継続的に監視し、必要に応じて見直しを行う。
ステップ1: 定期的なリスクレビューの実施
頻度: 四半期ごと
担当者: セキュリティチーム
ステップ2: インシデント対応計画の策定と訓練
内容: インシデント発生時の対応手順、コミュニケーション計画
訓練: 年1回の模擬訓練
ステップ3: 継続的な改善
方法: リスク評価結果とインシデント対応結果を基にした改善策の策定
期限: 各レビュー後1ヶ月以内
成果物
リスク一覧表
リスクマトリックス
対策実施計画書
インシデント対応計画書
レビュー報告書
6.3 変更の計画策定
情報セキュリティ環境は常に変化しており、組織はこれに対応するための変更管理プロセスを確立する必要があります。変更の計画策定には、以下のステップが含まれます。
変更の識別:新しいリスクや機会を識別し、それに対応するための変更を特定します。例えば、新しい技術の導入や法規制の変更などが考えられます。
変更の評価:変更が組織全体に与える影響を評価します。これは、リスクアセスメントと同様の手法で行われます。
変更の実施計画:変更を実施するための具体的な計画を策定します。計画には、必要なリソース、スケジュール、責任者などが含まれます。
進捗のモニタリングと評価:変更の進捗を定期的にモニタリングし、計画通りに進んでいるかを確認します。必要に応じて、計画を調整します。
変更管理プロセスを通じて、組織は常に最新の情報セキュリティ対策を維持し、リスクに対する対応能力を向上させることができます。
変更管理プロセスの例
1. 変更要求の提出
目的:変更の必要性を認識し、正式に変更要求を提出する。
ステップ1: 変更要求の記入
担当者: 変更を提案する従業員またはチーム
内容: 変更の理由、目的、影響範囲、リスク評価
フォーマット: 変更要求書(フォーム)
ステップ2: 変更要求の提出
担当者: 変更を提案する従業員またはチーム
提出先: 変更管理委員会(Change Control Board, CCB)
2. 変更要求の評価
目的:提出された変更要求を評価し、承認または却下の決定を行う。
ステップ1: 初期評価
担当者: 変更管理委員会
内容: 変更要求の妥当性、影響範囲の初期評価
結果: 承認、却下、追加情報の要求
ステップ2: 詳細評価
担当者: 関連部門(セキュリティチーム、IT部門、業務部門)
内容: 詳細なリスク評価、影響分析、コスト評価
結果: 評価レポートの作成
ステップ3: 最終決定
担当者: 変更管理委員会
結果: 承認、却下、再評価の指示
3. 変更の計画
目的:承認された変更を実施するための詳細な計画を策定する。
ステップ1: 変更実施計画の策定
担当者: 変更要求を提出したチーム、関連部門
内容: 具体的な作業手順、スケジュール、担当者の割り当て
アウトプット: 変更実施計画書
ステップ2: 計画のレビューと承認
担当者: 変更管理委員会
結果: 承認、修正指示
4. 変更の実施
目的:計画に基づいて変更を実行し、記録を残す。
ステップ1: 変更の実行
担当者: 担当者チーム
内容: 変更実施計画に従い変更を実施
ステップ2: 変更実施の記録
担当者: 担当者チーム
内容: 実施結果の記録、問題発生時の対応記録
アウトプット: 変更実施報告書
5. 変更の確認とレビュー
目的:変更が計画通りに実施され、期待された効果が得られているかを確認する。
ステップ1: 変更の確認
担当者: 変更管理委員会、関連部門
内容: 実施結果の確認、効果の評価
アウトプット: 確認報告書
ステップ2: 変更後のレビュー
担当者: 変更管理委員会、関連部門
内容: 変更の影響評価、改善点の特定
アウトプット: レビュー報告書
6. 変更の文書化と教育
目的:変更内容を文書化し、関係者に周知徹底する。
ステップ1: 変更内容の文書化
担当者: 変更管理委員会、ドキュメント管理チーム
内容: 変更内容の詳細、手順の更新
アウトプット: 更新されたポリシー、手順書
ステップ2: 教育とトレーニング
担当者: 人事部門、セキュリティチーム
内容: 関係者への教育、トレーニング実施
結果: トレーニング記録
成果物
変更要求書
評価レポート
変更実施計画書
変更実施報告書
確認報告書
レビュー報告書
更新されたポリシーと手順書
トレーニング記録
まとめ
ISMSの第6章「計画」は、情報セキュリティリスクの管理に不可欠なプロセスを詳細に規定しています。組織は、リスクアセスメントとリスク対応を通じて、情報セキュリティの目標を設定し、それを達成するための計画を策定することで、より強固なセキュリティ体制を構築できます。継続的な見直しと改善を行うことで、情報セキュリティの確保に努めましょう。このブログ記事が、ISMSの計画プロセスを理解し、実践するための参考になれば幸いです。
お知らせ
電巧社ではセキュリティ分野専門のブログも公開しています。ゼロトラストセキュリティを始めとした、ランサムウェアへの対処法等を紹介しています。こちらもよろしくお願いします。