情報セキュリティマネジメントの改訂ポイント：みならい君のISMS改訂対応物語（3）（2/4 ページ）

[打川和男，＠IT]

情報セキュリティリスクアセスメントおよび対応に関する変更のポイント

常務！ 情報セキュリティリスクアセスメントと情報セキュリティリスク対応の要求事項は、パッと見てあまり変わっていないような感じがするんですが……

みならい君、そんなことはないと思うわ！ 2005年版で使用されていた、リスク特定における「脅威」や「脆弱（ぜいじゃく）性」、リスク対応における「低減」「回避」「移転」などの用語が削除されていたり、その他にもいろいろな部分で相違がみられるわ！

そうだね、まずは、変更のポイントを整理しよう！

1. 情報セキュリティリスクマネジメントの用語や考え方の、ISO31000:2009との整合
2. リスクオーナーおよびその役割の明確化
3. 附属書Ａの用途の変更

表2　リスクアセスメントおよびリスク対応に関する要求事項のポイント

		ISO/IEC27001:2005	ISO/IEC27001:2013
リスクアセスメント手順の確立		4.2.1 c) リスクアセスメント手順の確立 1) ISMS、特定された事業上の情報セキュリティの要求事項、ならびに特定された法令および規制の要求事項に適したリスクアセスメント手順の特定 2) リスク受容基準を設定し、またリスクの受容可能レベルの特定 選択するリスクアセスメント手順は、比較可能で、かつ、再現可能な結果を生み出すことを確実にする	6.1.2 a) 情報セキュリティのリスク基準の確立および維持 1) リスク受容基準 2) 情報セキュリティリスクアセスメント手順 b) 繰り返し実施した情報セキュリティリスクアセスメントが、一貫性と妥当性があり、かつ、比較可能な結果を生み出すことを確実にする 8.2 あらかじめ定めた間隔、または重大な変更が提案されたか、もしくは重大な変化が生じた場合に、情報セキュリティリスクアセスメントの実施
リスクアセスメント	リスク特定	4.2.1 d) リスクの特定 1) 資産およびそれらの資産の管理責任者の特定 2) 資産に対する脅威の特定 3) 脅威がつけ込むかもしれないぜい弱性の特定 4) CIAの喪失がそれらの資産に及ぼす影響の特定	6.1.2 c) 情報セキュリティリスクの特定 1) 情報のCIAの喪失に伴うリスク特定のための、情報セキュリティリスクアセスメント手順の適用 2) これらのリスク所有者の特定
	リスク分析	4.2.1 e) リスクを分析し、評価 1) 結果の重大性の評価 2) 発生の可能性の評価 3) リスクのレベルの算定 4) リスク受容の判断	6.1.2 d) 情報セキュリティリスクの分析 1) 結果の重大性の評価 2) 発生の可能性の評価 3) 3) リスクレベルの決定
	リスク評価	4.2.1 f) リスク対応のための選択肢の特定と評価。選択肢には、低減、受容、 回避、移転がある	6.1.2 e) 情報セキュリティリスクの評価 1) リスク分析の結果とリスク基準との比較 2) 分析したリスクの優先順位付け
リスク対応	計画	4.2.1 （g） リスク対応のための、管理目的および管理策の選択 ・管理目的および管理策の選択、導入 ・この選択には、法令、規制および契約上の要求事項と同じく、リスク受容基準も考慮 ・附属書Aの中から、管理目的および管理策の選択 ・附属書Aに規定した管理目的および管理策は、すべてを網羅してはいないので、追加の管理目的および管理策の選択も可	6.1.3 （a) アセスメントの結果を考慮し、適切な情報セキュリティリスク対応の選択肢の選定 6.1.3 （b） 選定した情報セキュリティリスク対応の選択肢の実施に必要なすべての管理策の決定 6.1.3 （c） 決定した管理策を附属書Aに示す管理策と比較し、必要な管理策が見落とされていないことを検証 6.1.3 （d） 次を含む適用宣言書を作成する − 必要な管理策およびそれらの管理策を含めた理由 − それらの管理策を実施しているか否か − 附属書A に規定する管理策を除外した理由
		4.2.1 （h） 残留リスクについて経営陣の承認 4.2.1 （i） ISMSを導入し運用することについて経営陣の許可"	6.1.3 （e） 情報セキュリティリスク対応計画の策定 6.1.3 （f）情報セキュリティリスク対応計画および残留している情報セキュリティリスクの受容についてのリスク所有者の承認
		4.2.1 （j） 次を含むように適用宣言書の作成 1) 選択した管理目的および管理策、それらを選択した理由 2) 現在実施している管理目的および管理策 3) 附属書A に規定された管理策の中で適用除外とした管理目的および管理策、それらを適用除外とする正当である理由	6.1.3 （d）
		4.2.2 （a） リスク対応計画の策定	6.1.3 （e）
	実行	4.2.2 （b） 特定した管理目的を達成するためにリスク対応計画の実施。選択した管理策の管理目的を満たすための実施	8.3 情報セキュリティリスク対応計画の実施

あっ、（1）は条項の並べ替えですね！

旧規格との違いは、リスクマネジメントにおけるリスクアセスメントに当たる要求事項は、6.1.2と8.2に規定され、リスク対応にあたる要求事項は、6.1.3と8.3に、明確に規定されていますね！

次の、（2）が大きな変更ですね、確か、旧規格ではリスク特定の際に「資産の管理責任者」を特定することを要求していましたけど……。

本当だ！ 新規格ではリスク特定の際に、「リスク所有者」を特定することに変更され、また、リスク対応では「経営陣」に変わり、「リスク所有者」がリスク対応計画と残留リスクの受容についての承認を行うことに変更されていますね！ 何か意図があるんでしょうか？

これは、情報セキュリティにおいては、必ずしも「資産の管理責任者＝リスク所有者」ではないということと、現場にリスクマネジメントに関する当事者意識をもっと持たせるべきである、という意見によるものといわれているね。

なるほど、改訂対応の作業の際は、あらためてリスク所有者を特定し、現在の残留リスクの受容について承認を得る必要があるということですね！

常務、（3）はどういうことなのでしょうか？

これは、第1回目のミーティングでもお聞きした話ですね！ 改訂における審議の中で、附属書Ａの取り扱いに関してどうするかという……。

そうだね、基本的なポイントは、附属書Ａありきのリスクアセスメントや、附属書Ａに限定した管理策の実装を防止することにあるんだよ！

なるほど、だからそのような誤解をした管理策の実装を防ぐために、あくまでも管理策は、自社で設計したものを採用するか、または任意の情報源の中から選択したものを採用し、その後「決定した管理策を附属書Aに示す管理策と比較し，必要な管理策が見落とされていないことを検証する」という流れを明確にしたんですね！

そうだね、リスクオーナーの特定と附属書Ａの用途変更は、改訂対応の作業の中で最も重要なポイントとなるね。

次は、情報セキュリティ目的（6.2）とコミュニケーション（7.4）を確認しようか？