ISMS(ISO27001)認証お役立ちコラム
2021年11月19日
ISMS(ISO27001)の構築、運用において必ず作らなければならないのが「リスク対応計画」です。
ISMS(ISO27001)における「リスク対応計画」とは、情報セキュリティのリスクが想定される事象に対し、回避または残留リスクとして管理するための施策を計画し、実施するためのものです。
1.リスク対応計画とは?
「リスク対応計画」とは情報セキュリティのリスクが想定される事象に対し、回避または残留リスクとして管理するための施策を計画し、実施するためのものです。
まずは簡単にISMS(ISO27001)についてお話しします。
ISMS(ISO27001)は、情報セキュリティに関するリスクを低減するためのマネジメントシステムです。
組織として情報セキュリティ向上のための仕組みを作っていくものになります。
そんなISMS(ISO27001)におけるリスク対応計画とは?というのが今回のテーマです。
さて、「リスク対応計画」をISMS(ISO27001)の規格項番で確認すると、6.1.3情報セキュリティリスク対応で取り上げられています。
2.6.1.3 情報セキュリティリスク対応について
まずは規格、6.1.3 情報セキュリティリスク対応についての解説です。
この6.1.3項、規格本文を読んでみると「文書化した情報を保持しなければならない」とあります。
簡単に言えば、記録として残さなければならないということです。
それでは、どんな記録を作る必要があるのでしょうか。
こちらもISMS(ISO27001)では、6つの要求を満たす必要があります。
「リスク対応計画」を作成することはその中の1つに含まれます。
ステップに分けていくと、以下5つのステップです。
(1)リスクアセスメントの結果を基に、どのようなリスク対応するかを選定します。
(2)(1)を基に実施可能な管理策を決定します。
(3)(2)で決定した管理策をISMS(ISO27001)の規格要求事項にある付属書Aと比較し相違がないか検証します。
(4)(3)の結果を含めて適用宣言書を作成します。
※適用宣言書についてはこちらをご確認ください→ISMS(ISO27001)適用宣言書とは?作り方を3ステップで解説
(5)(1)~(3)を踏まえてリスク対応計画を作成します。
とはいえ、全てのリスクに対して対応できるかと言えばそうではありません。
リスクより働きやすさを優先することがあれば、費用対効果を考えれば現状では手を出せないものも含まれます。
このように何かしらの事情で残ってしまったリスクのことを残留リスクと呼びます。
残留リスクについては、社内で確認の上を承認を取ることで、社内でリスクとして認識しながら活動することができます。
リスク対応については定期的に見直していきますので、残留リスクも見直しが必要になります。
リスク対応の優先度を考えながら、最終決定を行っていきましょう。
3.実践!リスク対応計画の作り方
ここまで規格に沿って解説しましたが、ここからは実際にやることの中身についてです。 わかりやすく3つのステップにまとめました。
①リスクを洗い出す
自社の現状把握です。
顧客からの要望や法的要求事項への対応、発生してしまったインシデント(事故)やそれに準ずるヒヤリハットなど、様々な状況から対策しなければならない課題を特定します。
②リスクへの対応方法を決める
洗い出された課題を解決するための作戦を立てます。
リスクへの対応は必ずしも100%解決しなければならないものではありません。
リスク対応には、回避、軽減、移転、保有、など種類があります。
対策に時間やお金がかかるため現状できるところまでをやる、長期的な計画とするなど、やり方はたくさんあります。
③計画通り実行する
リスク対策を計画通りに実行します。
ただし、必ず達成しなければならないわけではありません。
計画は変更されることもあります。実際に取り組んでいることをみえる形で記録しておくことが大切です。
続いては計画を立てるにあたり、考慮すべきポイントです。
記録を作るにあたり必要な項目について、簡単にまとめます。
1)実施事項
どのようなリスク対策を行うかを決めます。
2)必要な資源
必要な資源(費用を含む)を確認します。
3)責任者
リスク対策を適切に行うためには、責任者を決める必要があります。
4)達成期限
計画を立てる際は、必ず期日が必要になります。いつまでに実施するか期限を決めます。
5)結果の評価方法
何をもってリスク対応を完了とするか、評価基準を設けます。
このような5つの内容を含んで記録を作りましょう。
4.事例紹介
実際の事例を紹介します。
下記に列挙させていただいたような対応を実施することが一般的です。
・Windows 旧版サポート終了に伴うPCの入れ替え
OSのサポート終了に伴うウイルス感染などのリスクへの対応
・在宅勤務時の情報
セキュリティに関する規定の作成 在宅勤務開始にあたり、ルールがない状態で業務を行うリスクへの対応
・クラウドサービス利用開始に伴う教育の実施
社内ストレージとして利用していた物理サーバーを外部クラウドサービスへ移行するにあたり、
クラウドサービスの注意点がわからない従業者がいるリスクへの対応
まとめ
リスク対応計画の作り方について、簡単に説明させていただきましたがいかがでしたでしょうか?
各組織によって存在するリスクやとれる対策方法も千差万別です。
それぞれの会社に合った方法で意味のあるリスク対応計画を作成、運用することが何よりも重要です。
お悩みがあれば、まずは無料でご相談も可能ですので、お気軽にお問い合わせください!
ISO・Pマークについてのお悩みはありませんか?
- SNSでシェア
- Tweet
ISO・Pマーク(プライバシーマーク)に関することなら
何でもお気軽にご相談ください
0120-068-268
お電話受付:平日9:30〜17:00
お電話受付:平日9:30〜17:00
-
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!
お問合せは
こちらから -
全国どこでもオンラインで対応!
気軽にご相談ください!
相談予約は
こちらから
認証パートナーのサービスご説明資料
新規認証や運用・更新にあたって
当社が請け負うことをわかりやすくまとめました。
ぜひご検討の参考にしてください。
資料の内容
- ・当社のサポート内容
- ・規格の概要
- ・取得までに必要な審査費用
ISMS(ISO27001)認証パートナー
サービスのご案内
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
-
Pマーク
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。Pマークの認証ページへ -
ISO9001
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。ISO9001の認証ページへ -
ISO14001
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。ISO14001の認証ページへ -
ISMS・ISO27001
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。ISMS/ISO27001の認証ページへ