ISMS審査合格100%保証

0120-068-268
お電話受付:平日9:30〜18:30

ISMS認証
お役立ちコラム

ISMS(ISO27001)の認証・更新に
とっても役立つ『今』の情報をお届けします。

2021年11月19日

すぐできる!ISMS(ISO27001)リスク対応計画の作り方

すぐできる!ISMS(ISO27001)リスク対応計画の作り方

ISMS(ISO27001)の構築、運用において必ず作らなければならないのが「リスク対応計画」です。
ISMS(ISO27001)における「リスク対応計画」とは、情報セキュリティのリスクが想定される事象に対し、回避または残留リスクとして管理するための施策を計画し、実施するためのものです。

1.リスク対応計画とは?

「リスク対応計画」とは情報セキュリティのリスクが想定される事象に対し、回避または残留リスクとして管理するための施策を計画し、実施するためのものです。

まずは簡単にISMS(ISO27001)についてお話しします。
ISMS(ISO27001)は、情報セキュリティに関するリスクを低減するためのマネジメントシステムです。
組織として情報セキュリティ向上のための仕組みを作っていくものになります。
そんなISMS(ISO27001)におけるリスク対応計画とは?というのが今回のテーマです。

さて、「リスク対応計画」をISMS(ISO27001)の規格項番で確認すると、6.1.3情報セキュリティリスク対応で取り上げられています。

2.6.1.3 情報セキュリティリスク対応について

まずは規格、6.1.3 情報セキュリティリスク対応についての解説です。
この6.1.3項、規格本文を読んでみると「文書化した情報を保持しなければならない」とあります。
簡単に言えば、記録として残さなければならないということです。

それでは、どんな記録を作る必要があるのでしょうか。
こちらもISMS(ISO27001)では、6つの要求を満たす必要があります。
「リスク対応計画」を作成することはその中の1つに含まれます。

ステップに分けていくと、以下5つのステップです。

(1)リスクアセスメントの結果を基に、どのようなリスク対応するかを選定します。

(2)(1)を基に実施可能な管理策を決定します。

(3)(2)で決定した管理策をISMS(ISO27001)の規格要求事項にある付属書Aと比較し相違がないか検証します。

(4)(3)の結果を含めて適用宣言書を作成します。
※適用宣言書についてはこちらをご確認ください→ISMS(ISO27001)適用宣言書とは?作り方を3ステップで解説

(5)(1)~(3)を踏まえてリスク対応計画を作成します。

とはいえ、全てのリスクに対して対応できるかと言えばそうではありません。
リスクより働きやすさを優先することがあれば、費用対効果を考えれば現状では手を出せないものも含まれます。

このように何かしらの事情で残ってしまったリスクのことを残留リスクと呼びます。
残留リスクについては、社内で確認の上を承認を取ることで、社内でリスクとして認識しながら活動することができます。

リスク対応については定期的に見直していきますので、残留リスクも見直しが必要になります。
リスク対応の優先度を考えながら、最終決定を行っていきましょう。

プロのコンサルタントがお悩みをお伺いします。
お気軽にご相談ください。

3.実践!リスク対応計画の作り方

ここまで規格に沿って解説しましたが、ここからは実際にやることの中身についてです。 わかりやすく3つのステップにまとめました。

①リスクを洗い出す

自社の現状把握です。
顧客からの要望や法的要求事項への対応、発生してしまったインシデント(事故)やそれに準ずるヒヤリハットなど、様々な状況から対策しなければならない課題を特定します。

②リスクへの対応方法を決める

洗い出された課題を解決するための作戦を立てます。
リスクへの対応は必ずしも100%解決しなければならないものではありません。
リスク対応には、回避、軽減、移転、保有、など種類があります。
対策に時間やお金がかかるため現状できるところまでをやる、長期的な計画とするなど、やり方はたくさんあります。

③計画通り実行する

リスク対策を計画通りに実行します。
ただし、必ず達成しなければならないわけではありません。
計画は変更されることもあります。実際に取り組んでいることをみえる形で記録しておくことが大切です。

続いては計画を立てるにあたり、考慮すべきポイントです。
記録を作るにあたり必要な項目について、簡単にまとめます。

1)実施事項
どのようなリスク対策を行うかを決めます。

2)必要な資源
必要な資源(費用を含む)を確認します。

3)責任者
リスク対策を適切に行うためには、責任者を決める必要があります。

4)達成期限
計画を立てる際は、必ず期日が必要になります。いつまでに実施するか期限を決めます。

5)結果の評価方法
何をもってリスク対応を完了とするか、評価基準を設けます。

このような5つの内容を含んで記録を作りましょう。

4.事例紹介

実際の事例を紹介します。
下記に列挙させていただいたような対応を実施することが一般的です。

・Windows 旧版サポート終了に伴うPCの入れ替え
OSのサポート終了に伴うウイルス感染などのリスクへの対応

・在宅勤務時の情報
セキュリティに関する規定の作成 在宅勤務開始にあたり、ルールがない状態で業務を行うリスクへの対応

・クラウドサービス利用開始に伴う教育の実施
社内ストレージとして利用していた物理サーバーを外部クラウドサービスへ移行するにあたり、
クラウドサービスの注意点がわからない従業者がいるリスクへの対応

まとめ

リスク対応計画の作り方について、簡単に説明させていただきましたがいかがでしたでしょうか?
各組織によって存在するリスクやとれる対策方法も千差万別です。

それぞれの会社に合った方法で意味のあるリスク対応計画を作成、運用することが何よりも重要です。

お悩みがあれば、まずは無料でご相談も可能ですので、お気軽にお問い合わせください!

プロのコンサルタントがお悩みをお伺いします。
お気軽にご相談ください。

ISO・Pマーク(プライバシーマーク)に
関することなら
何でもお気軽にご相談ください

認証パートナーロゴ

0120-068-268
お電話受付:平日9:30〜18:30

5営業日以内にお届け!

新規取得・運用別に
役立つ資料をお届けします

新規認証や運用・更新にあたって当社が何を請け負うか、
わかりやすい資料でご検討の参考にしてください。

役立つ資料をお届け

ISMS(ISO27001)認証パートナー
サービスのご案内

認証パートナーロゴ

認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。