ISMS審査合格率100%

0120-068-268
お電話受付:平日9:30〜18:30

ISMS(ISO27001)認証お役立ちコラム

ISMS(ISO27001)情報セキュリティリスク計画書の作り方を3つのポイントで解説

2021年12月15日

ISMS(ISO27001)情報セキュリティリスク計画書の作り方を3つのポイントで解説

ISMS(ISO27001)認証取得・運用にあたって、重要になるのが「ISMS情報セキュリティリスク計画書」です。
ISMS(ISO27001)情報セキュリティリスク計画書の作り方のポイントは「適切な認識」「適切なインプット」「適切なプラン」の3つがあります。

1.ISMS情報セキュリティリスク計画書とは?

情報セキュリティリスクアセスメントの結果によって、下記を判断する必要があります。

⑴現状のセキュリティルールによって、リスク回避できているもの
⑵現状のセキュリティルールでは、リスク回避できないが、すぐに対応できるもの
⑶現状のセキュリティルールでは、リスク回避できず、対応するのに時間がかかるもの

情報セキュリティリスク計画書は、上記の(3)について、具体的な対応計画を作成するものになります。

2.情報セキュリティリスクのCIAとは?

情報セキュリティリスクアセスメントをする上では、まず何がセキュリティリスクになるのか認識する必要があります。

確認する角度として、役立つのが、CIAの概念になります。
ここで簡単に説明致します。3つのダメを覚えてください。

⑴機密性(confidentiality)を維持する必要があるもの=漏れてはダメ
許可されている人だけが情報にアクセスでき、情報が外部に漏洩しないこと

⑵完全性(integrity)を維持する必要があるもの=間違ってはダメ
情報が改ざんされたりせず、整合性が取れて完全な状態であること

⑶可用性(availability)を維持する必要があるもの=すぐ使えないとダメ
システムが安定運用されており、必要な時に情報にアクセス出来ること

3つの視点から大事なモノを評価し、現状把握しましょう。

プロのコンサルタントがお悩みをお伺いします。
お気軽にご相談ください。

3.情報セキュリティリスク計画書の作り方の3つのポイント

⑴適切な認識

まず最初に、ISOの審査を意識するあまり、「情報セキュリティリスク計画書」に該当する案件はないほうがいいのではないか?解決していない案件は記載しないほうがいいのではないか?といった認識は止めてほしいのです。
審査員の視点からしても、情報セキュリティリスクに該当する案件がない方が不自然で、むしろ、現状把握した上で、リアルな情報セキュリティリスク対応が必要な案件がピックアップされている方が良いです。

⑵適切なインプット

情報セキュリティリスク対応が必要な案件をピックアップするには、適切なインプットが必要になります。
上記で記載した、情報セキュリティリスクアセスメントの結果だけでなく、さまざまな角度から情報セキュリティリスクを評価したほうが良いです。
例えば、トップマネジメントを交えての経営会議等で、出てきた課題やアウトプット、日々、発生している情報漏洩、不正アクセス、ランサムウェア等の事例、DXを推進する上での課題等からも、自社で対応すべきことがないか幅広く検討していくことが重要になります。

⑶適切なプラン

情報セキュリティリスク対応が必要な案件のピックアップが出来たら、あとはどう管理するかです。

適切な計画が立てれるかどうかが、ポイントになります。
まずは案件を2つの視点に分けると良いと思います。

①短期的な視点からの情報セキュリティリスク計画
②長期的な視点からの情報セキュリティリスク計画

先ず①については、短期的な案件になるので、現在動いているプロジェクトにうまく組み合わせて管理できないか検討すると管理しやすいと思います。
また②は個別のプロジェクトで管理できないような、会社全体に関わる課題も多いと思うので、何らかの計画書を別で作成して、管理する仕組みがないとリスク対応が進まないと思います。

①に共通して言えますが、プランになるので、どれだけ具体的に計画できるかがポイントになります。

・なぜ(Why) リスク対応の目的、背景
・何を(What) リスク対応の内容
・誰が(Who) リスク対応の責任者
・誰と・誰に(with Whom)対応の関係者
・いつ(When) リスク対応の納期
・どこで(Where) リスク対応の場所
・どのように(How)リスク対応の手順
・いくら(How much) リスク対応にかかる費用
・どれだけ(How many) リスク対応の量

プロのコンサルタントがお悩みをお伺いします。
お気軽にご相談ください。

まとめ

ISMS(ISO27001)情報セキュリティリスク計画書の作り方を3つのポイントをまとめると、審査での評価は気にせずに、自社の課題に邁進することが大切になります。

自社の課題を情報セキュリティリスク計画書に反映され、具体的に管理することで 実態にあった仕組みの中で、ISMS(ISO27001)情報セキュリティリスク計画書を運用していけると思います。

プロのコンサルタントがお悩みをお伺いします。
お気軽にご相談ください。

ISO・Pマーク(プライバシーマーク)に関することなら
何でもお気軽にご相談ください

認証パートナーロゴ

0120-068-268
お電話受付:平日9:30〜18:30

5営業日以内にお届け!

新規取得・運用別に
役立つ資料をお届けします

新規認証や運用・更新にあたって当社が何を請け負うか、
わかりやすい資料でご検討の参考にしてください。

役立つ資料をお届け

ISMS(ISO27001)認証パートナー
サービスのご案内

認証パートナーロゴ

認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。