ISMS(ISO27001)認証お役立ちコラム
2021年11月17日
ISMS(ISO27001)では情報セキュリティにおけるリスクマネジメントが求められます。
企業における情報資産を特定し、そのリスク(危険)に対してアセスメント(分析、評価)を行うことで、企業活動をマネジメント(管理)する必要があります。
ISMS(ISO27001)ではインシデントを防ぐために、リスクマネジメントの実施が不可欠になってきます。
それぞれの企業に適した方法で実施していくことが重要です。
1.ISMS(ISO27001)におけるリスクマネジメントとは
ISMS(ISO27001)では、情報セキュリティにおけるリスクマネジメントが求められています。
リスクマネジメントを行うためには、以下5つのステップが必要になります。
(1)企業における情報資産を特定する
(2)情報資産のリスク(危険)に対してアセスメント(分析、評価)を行う
(3)アセスメント結果を基に、管理策を立ててリスクに備える
(4)重大なリスクにつながる内容に対してリスク対策を行う(計画する)
(5)リスク対策が有効だったかを評価する
つまり、企業は情報資産のリスクを分析して評価し、管理策を立てて、リスクに備える必要があります。
管理策を立ててなお、重大なリスクに繋がりそうと企業が判断した場合は、リスク対応計画を立て対策を管理していきます。
そしてリスク対応計画で計画した対策が有効であったかを評価して初めてリスクマネジメントができたといえます。
2.機密性、完全性、可用性とは
初めにあなたの会社にある情報資産特定します。
特定した情報資産のリスクアセスメントをしていくための要素が3つあります。
リスクアセスメントを行う際、3つの視点を入れてチェックしていく必要があります。機密性、完全性、可用性です。 これらをわかりやすい言葉に置き換えると以下のようになります。
(1)機密性(Confidentiality) 外部に漏れてはいけない情報資産
(2)完全性(Integrity) 間違っていてはいけない情報資産
(3)可用性(Availability) すぐに利用できないといけない情報資産
3つの要素の頭文字を取り、情報セキュリティのCIAと呼ばれています。
イメージしやすいように、システム開発会社で情報資産の特定を行った場合の 機密性、完全性、可用性にはそれぞれどんな情報資産が該当するか例を挙げていきます。
機密性:顧客情報、開発データ 等
完全性:契約書、請求書 等
可用性:チャットツール、クラウドサーバー 等
情報資産は、CIAをそれぞれの側面から分析していきますが、例として特にリスク値が大きく算出されやすい情報資産を挙げています。
3.リスクマネジメントの流れ
ISMS(ISO27001)に対するリスクマネジメントは以下6つのステップで進めていきます。
(1)情報システムの分類を行う
情報システムに関係するすべての情報を分類していきます。
情報システムはハードウェア、ソフトウェアどちらも含まれます。
サーバー等のインフラから、その中に保管されている情報も該当します。
(2)セキュリティ管理策を選択する
(1)で分類した情報を基に、完全性、可用性を保護するためのセキュリティ管理策を選択します。
(3)セキュリティ管理策の実施
セキュリティ管理策を実施して、運用環境内での管理策の使用方法を記述します。
(4)セキュリティ管理策のアセスメントを行う
セキュリティ管理策が正しく導入されているか、意図した通りに運用されているか、セキュリティ要求事項に対する適合性の観点からアセスメントを行います。
(5)情報システムの運用を認可する
情報システムの運用から生じる組織の業務や資産に対するリスクを評価して、そのリスクを受容できるか判断します。
(6)セキュリティ管理策の監視する
セキュリティ管理策が脅威、脆弱性、テクノロジーの変化に適用出来ているか継続的に監視します。
4.リスクマネジメント方法3選
リスクマネジメントの基本は、リスクの特定、リスクの分析、リスク評価、リスク対応を行っていくことと説明させて頂きました。
次に、リスクマネジメント3つの方法をご紹介します。
①リスクマネジメントフレームワーク(RMF)
組織や情報システムにおける情報セキュリティリスクの管理方法を定めます。
3で説明したようなリスクマネジメントの基本的な手法になります。
②全社的リスクマネジメント(ERM)
リスクマネジメント活動に関する全社的な仕組みやプロセスのことです。
RMFで構築したリスク管理方法を組織全体で継続的に回していく仕組みも含みます。
具体的な方法は決まっていませんが、リスクマネジメント活動に関する全社的な仕組みやプロセスを導入しPDCAを回し継続的に改善していくことが必要です。
③クライシスマネジメント(危機管理)
危機的な事態が発生した場合、可能な限り迅速かつ適切な対応をとり、平常状態へ復旧させることです。
リスクマネジメントは、危機を発生させないように管理しますが、クライシスマネジメントは危機が発生した場合の管理方法のことです。
まとめ
ISMS(ISO27001)のリスクマネジメントとは、
企業における情報資産を特定し、情報資 産のリスク(危険)に対してアセスメント(分析、評価)を行い企業活動のマネジメント(管理)することです。
企業におけるリスクマネジメントの導入は、情報資産が溢れている昨今の情勢では取り組むべき重要な管理方法です。
「仕組みは理解できても、自社に適した方法がよくわからない…」というケースも多いと思います。
お困りの際は、是非無料相談でコンサルタントにご相談ください。
ISO・Pマークについてのお悩みはありませんか?
- SNSでシェア
- Tweet
ISO・Pマーク(プライバシーマーク)に関することなら
何でもお気軽にご相談ください
0120-068-268
お電話受付:平日9:30〜17:00
お電話受付:平日9:30〜17:00
-
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!
お問合せは
こちらから -
全国どこでもオンラインで対応!
気軽にご相談ください!
相談予約は
こちらから
認証パートナーのサービスご説明資料
新規認証や運用・更新にあたって
当社が請け負うことをわかりやすくまとめました。
ぜひご検討の参考にしてください。
資料の内容
- ・当社のサポート内容
- ・規格の概要
- ・取得までに必要な審査費用
ISMS(ISO27001)認証パートナー
サービスのご案内
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
-
Pマーク
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。Pマークの認証ページへ -
ISO9001
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。ISO9001の認証ページへ -
ISO14001
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。ISO14001の認証ページへ -
ISMS・ISO27001
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。ISMS/ISO27001の認証ページへ