後半部分……。あっ、「6.1 リスクおよび機会に対処する活動」「6.1.1 一般」のことですね!
みならい君、すごいね! よく予習してきたね!
へへへへ〜
うん、二人とも良いね! “自社を取り巻く環境(状況)”(4.1 組織およびその状況の理解)を整理する活動を通じて特定された課題と、当社の活動や成果に期待や関心を持つ利害関係者を整理する活動(4.2 利害関係者のニーズおよび期待の理解)を通じて特定された要求事項は、その「6.1.1 一般」に引き継がれるんだよ!
そこで、それらの特定された課題や要求事項の取り扱いが決定されるんですね!
その通り。それらの中で、何らかの対応を施さないと、ISMSが意図した成果を達成できなくなったり、望まない影響を予防または減少できなくなったり、継続的改善が達成できなくなるようなものが特定され、対応計画を策定し、導入・実行し、有効性が評価されるんだよ!
まさにPDCAですね!
でも……、なんでリスクと機会なんだろう? リスクだけでいいんじゃないかな〜?
私もそう思うわ。もしかしたら、悪いこと(リスク)と良いこと(機会)の両方を特定することを意図しているのかしら?
う〜ん、そういう解釈も良いかもしれないね! ただし、今回のISMS規格に採用されるリスクは、「目的に対する不確かな影響」と定義され、好ましい方向と好ましくない方向に乖離(かいり)することを指しているので、リスクにはよい方向に進むことも含まれるんだよ!
それでは、どのように解釈すべきでしょうか?
一つの解釈の仕方として、リスクはあくまでも「不確か」だから、「〜が起こるかもしれない」といったように、あくまでも「かもしれない」ものだよね! それに対して、「機会」は、「ある程度何かをすれば、結果が見えていること」と考えるのが良いかもしれないね!
なるほど、「6.1.1 一般」で特定されるものの中には、不確かだが何らかの処置を必要とするものと、具体的に何かを施せばその成果がある程度期待できるものの、この2つがあるということを意図しているのですね!
そうだね、あくまでも考え方の一つだけどね!
そうか! よく分かりました。でも旧規格のリスクマネジメントと大きく変わりましたね、以前は、情報を特定し、脅威を特定し……とありましたが……。
みならい君、ちょっと待って! いま言った、情報セキュリティリスクアセスメントや対応などは、別に「6.1.2」と「6.1.3」にあるわよ!
え〜っ、いま説明してもらったのは、リスクマネジメントじゃなかったですか? それとも……。
そこが、新規格に基づくISMSの鍵となるポイントになるんだよ!
なるほど、2つのリスクマネジメントがISMSの中に存在するんですね!
その通り、一つは従来の情報セキュリティに関するリスクマネジメントであり、もう一つが、組織の課題や利害関係者の要求事項などから特定される、“マネジメント(ISMS)”に関するリスクマネジメントになるんだよ!
そうか! 極論ですが、この追加された、“マネジメント(ISMS)”に関するリスクマネジメントが、旧規格の予防処置にあたるんですね!
ありがとうございます! 何かすっきりしました!
僕も自信が湧いてきたぞ〜。でも追加された要求事項は、これだけではないですよね?
うん、そうだね、次回のミーティングでは、その辺を明確にしていこう!
は〜い!
次回は、残りの規格要求事項の変更点や追加点を解説します。お楽しみに!
株式会社アイテクノ 常務取締役 コンサルティング事業本部 本部長 ISMS上席コンサルタント
ビジネスコンサルティングに従事した後、ISO認証支援コンサルティング事業を立ち上げ、ISO9001、ISO14001、ISMSに関するコンサルティングに従事。2006年から、ISOの認証機関であるBSI(英国規格協会)の日本法人に教育事業本部長として入社、各種マネジメントシステム規格の普及活動、各種研修・セミナーに関する開発、講演、執筆活動に従事。特にITサービスマネジメントのISO/IEC20000、事業継続マネジメントのBS25999、および学習サービスマネジメントのISO29990の国内立ち上げに従事。
2011年より、株式会社アイテクノのコンサルティング事業本部長としてISMSやBCMSをはじめとするISOマネジメントシステム規格の認証支援コンサルティング、講演、企業内研修講師、執筆活動に従事している。「図解入門ビジネス 最新 ISO27001:2013の仕組みがよ〜くわかる本(秀和システム)」の著者であり、ISO関連の著書は20冊を超える。
本記事に関するお問い合わせ:kazuo.uchikawa@itecno.co.jp
Copyright © ITmedia, Inc. All Rights Reserved.