2021年12月15日
ISMS(ISO27001)認証取得・運用にあたって、重要になるのが「ISMS情報セキュリティリスク計画書」です。
ISMS(ISO27001)情報セキュリティリスク計画書の作り方のポイントは「適切な認識」「適切なインプット」「適切なプラン」の3つがあります。
1.ISMS情報セキュリティリスク計画書とは?
情報セキュリティリスクアセスメントの結果によって、下記を判断する必要があります。
⑴現状のセキュリティルールによって、リスク回避できているもの
⑵現状のセキュリティルールでは、リスク回避できないが、すぐに対応できるもの
⑶現状のセキュリティルールでは、リスク回避できず、対応するのに時間がかかるもの
情報セキュリティリスク計画書は、上記の(3)について、具体的な対応計画を作成するものになります。
2.情報セキュリティリスクのCIAとは?
情報セキュリティリスクアセスメントをする上では、まず何がセキュリティリスクになるのか認識する必要があります。
確認する角度として、役立つのが、CIAの概念になります。
ここで簡単に説明致します。3つのダメを覚えてください。
⑴機密性(confidentiality)を維持する必要があるもの=漏れてはダメ
許可されている人だけが情報にアクセスでき、情報が外部に漏洩しないこと
⑵完全性(integrity)を維持する必要があるもの=間違ってはダメ
情報が改ざんされたりせず、整合性が取れて完全な状態であること
⑶可用性(availability)を維持する必要があるもの=すぐ使えないとダメ
システムが安定運用されており、必要な時に情報にアクセス出来ること
3つの視点から大事なモノを評価し、現状把握しましょう。
3.情報セキュリティリスク計画書の作り方の3つのポイント
⑴適切な認識
まず最初に、ISOの審査を意識するあまり、「情報セキュリティリスク計画書」に該当する案件はないほうがいいのではないか?解決していない案件は記載しないほうがいいのではないか?といった認識は止めてほしいのです。
審査員の視点からしても、情報セキュリティリスクに該当する案件がない方が不自然で、むしろ、現状把握した上で、リアルな情報セキュリティリスク対応が必要な案件がピックアップされている方が良いです。
⑵適切なインプット
情報セキュリティリスク対応が必要な案件をピックアップするには、適切なインプットが必要になります。
上記で記載した、情報セキュリティリスクアセスメントの結果だけでなく、さまざまな角度から情報セキュリティリスクを評価したほうが良いです。
例えば、トップマネジメントを交えての経営会議等で、出てきた課題やアウトプット、日々、発生している情報漏洩、不正アクセス、ランサムウェア等の事例、DXを推進する上での課題等からも、自社で対応すべきことがないか幅広く検討していくことが重要になります。
⑶適切なプラン
情報セキュリティリスク対応が必要な案件のピックアップが出来たら、あとはどう管理するかです。
適切な計画が立てれるかどうかが、ポイントになります。
まずは案件を2つの視点に分けると良いと思います。
①短期的な視点からの情報セキュリティリスク計画
②長期的な視点からの情報セキュリティリスク計画
先ず①については、短期的な案件になるので、現在動いているプロジェクトにうまく組み合わせて管理できないか検討すると管理しやすいと思います。
また②は個別のプロジェクトで管理できないような、会社全体に関わる課題も多いと思うので、何らかの計画書を別で作成して、管理する仕組みがないとリスク対応が進まないと思います。
①に共通して言えますが、プランになるので、どれだけ具体的に計画できるかがポイントになります。
・なぜ(Why) リスク対応の目的、背景
・何を(What) リスク対応の内容
・誰が(Who) リスク対応の責任者
・誰と・誰に(with Whom)対応の関係者
・いつ(When) リスク対応の納期
・どこで(Where) リスク対応の場所
・どのように(How)リスク対応の手順
・いくら(How much) リスク対応にかかる費用
・どれだけ(How many) リスク対応の量
まとめ
ISMS(ISO27001)情報セキュリティリスク計画書の作り方を3つのポイントをまとめると、審査での評価は気にせずに、自社の課題に邁進することが大切になります。
自社の課題を情報セキュリティリスク計画書に反映され、具体的に管理することで 実態にあった仕組みの中で、ISMS(ISO27001)情報セキュリティリスク計画書を運用していけると思います。
ISO・Pマーク認証更新でお悩みの方へ
認証パートナーは、8000社を超える企業様に認証率100%で支援してきた実績と経験豊富なコンサルタントの知見を活かし、お客様の目標達成を全力でサポートいたします。
アドバイスや取り次ぎだけでなく、書類作成や監督に向けての準備、年々変化するルールへの対応まで、お客様のパートナーとして共に歩んでまいります。
認証取得したいけれど、何をすれば良いか分からない方も、まずはお気軽にご相談ください。
ISO・Pマーク(プライバシーマーク)に関することなら
何でもお気軽にご相談ください
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!
お問合せは
こちらから全国どこでもオンラインで対応!
気軽にご相談ください!
相談予約は
こちらから
0120-068-268
お電話受付:平日9:30〜17:00
お電話受付:平日9:30〜17:00
認証パートナーのサービスご説明資料
8,000社以上の支援実績に裏付けされた、
弊社サービスの概要を紹介しております。
資料の内容
- ・当社のサポート内容
- ・規格の概要
- ・取得までに必要な審査費用
ISMS(ISO27001)認証パートナー
サービスのご案内
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
-
Pマーク
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。Pマークの認証ページへ -
ISO9001
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。ISO9001の認証ページへ -
ISMS・ISO27001
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。ISMS/ISO27001の認証ページへ -
ISO14001
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。ISO14001の認証ページへ -
ISO27017など各種対応規格
ISO27017やISO22000など各種規格もお得に 新規取得や運用・更新ができます。ご気軽にお見積りください。
ISO27017など各種対応規格ページへ -
複数規格の同時取得
ISOやプライバシーマークを同時に認証取得すると費用や工数を抑えることができます。安心してご相談ください
複数規格の同時取得ページへ