検索
連載

何が変わった? 新しい「規格要求事項」を理解しようみならい君のISMS改訂対応物語(2)(2/2 ページ)

情報セキュリティマネジメントシステム(ISMS)評価認定制度の基となっている国際規格「ISO/IEC27001」が2013年10月に改訂されました。今回も「みならい君」と一緒に「規格要求事項」の変化を学びます。

Share
Tweet
LINE
Hatena
前のページへ |       

2つのリスクマネジメント

みならい君

後半部分……。あっ、「6.1 リスクおよび機会に対処する活動」「6.1.1 一般」のことですね!


みならい君、すごいね! よく予習してきたね!


みならい君

へへへへ〜


うん、二人とも良いね! “自社を取り巻く環境(状況)”(4.1 組織およびその状況の理解)を整理する活動を通じて特定された課題と、当社の活動や成果に期待や関心を持つ利害関係者を整理する活動(4.2 利害関係者のニーズおよび期待の理解)を通じて特定された要求事項は、その「6.1.1 一般」に引き継がれるんだよ!


みならい君

そこで、それらの特定された課題や要求事項の取り扱いが決定されるんですね!


その通り。それらの中で、何らかの対応を施さないと、ISMSが意図した成果を達成できなくなったり、望まない影響を予防または減少できなくなったり、継続的改善が達成できなくなるようなものが特定され、対応計画を策定し、導入・実行し、有効性が評価されるんだよ!



図3 「6.1 リスクおよび機会に対処する活動」「6.1.1 一般」

まさにPDCAですね!


みならい君

でも……、なんでリスクと機会なんだろう? リスクだけでいいんじゃないかな〜?


私もそう思うわ。もしかしたら、悪いこと(リスク)と良いこと(機会)の両方を特定することを意図しているのかしら?


う〜ん、そういう解釈も良いかもしれないね! ただし、今回のISMS規格に採用されるリスクは、「目的に対する不確かな影響」と定義され、好ましい方向と好ましくない方向に乖離(かいり)することを指しているので、リスクにはよい方向に進むことも含まれるんだよ!


それでは、どのように解釈すべきでしょうか?


一つの解釈の仕方として、リスクはあくまでも「不確か」だから、「〜が起こるかもしれない」といったように、あくまでも「かもしれない」ものだよね! それに対して、「機会」は、「ある程度何かをすれば、結果が見えていること」と考えるのが良いかもしれないね!


なるほど、「6.1.1 一般」で特定されるものの中には、不確かだが何らかの処置を必要とするものと、具体的に何かを施せばその成果がある程度期待できるものの、この2つがあるということを意図しているのですね!


そうだね、あくまでも考え方の一つだけどね!


みならい君

そうか! よく分かりました。でも旧規格のリスクマネジメントと大きく変わりましたね、以前は、情報を特定し、脅威を特定し……とありましたが……。


みならい君、ちょっと待って! いま言った、情報セキュリティリスクアセスメントや対応などは、別に「6.1.2」と「6.1.3」にあるわよ!


みならい君

え〜っ、いま説明してもらったのは、リスクマネジメントじゃなかったですか? それとも……。



図4 ISO/IEC27001:2013における2つのリスクマネジメント

そこが、新規格に基づくISMSの鍵となるポイントになるんだよ!


なるほど、2つのリスクマネジメントがISMSの中に存在するんですね!


その通り、一つは従来の情報セキュリティに関するリスクマネジメントであり、もう一つが、組織の課題や利害関係者の要求事項などから特定される、“マネジメント(ISMS)”に関するリスクマネジメントになるんだよ!


みならい君

そうか! 極論ですが、この追加された、“マネジメント(ISMS)”に関するリスクマネジメントが、旧規格の予防処置にあたるんですね!


ありがとうございます! 何かすっきりしました!


みならい君

僕も自信が湧いてきたぞ〜。でも追加された要求事項は、これだけではないですよね?


うん、そうだね、次回のミーティングでは、その辺を明確にしていこう!


みならい君

は〜い!



ISMS改訂対応のステップ

 次回は、残りの規格要求事項の変更点や追加点を解説します。お楽しみに!

「みならい君のISMS改訂対応物語」バックナンバー

打川和男(うちかわ かずお)

株式会社アイテクノ 常務取締役 コンサルティング事業本部 本部長 ISMS上席コンサルタント

ビジネスコンサルティングに従事した後、ISO認証支援コンサルティング事業を立ち上げ、ISO9001、ISO14001、ISMSに関するコンサルティングに従事。2006年から、ISOの認証機関であるBSI(英国規格協会)の日本法人に教育事業本部長として入社、各種マネジメントシステム規格の普及活動、各種研修・セミナーに関する開発、講演、執筆活動に従事。特にITサービスマネジメントのISO/IEC20000、事業継続マネジメントのBS25999、および学習サービスマネジメントのISO29990の国内立ち上げに従事。

2011年より、株式会社アイテクノのコンサルティング事業本部長としてISMSやBCMSをはじめとするISOマネジメントシステム規格の認証支援コンサルティング、講演、企業内研修講師、執筆活動に従事している。「図解入門ビジネス 最新 ISO27001:2013の仕組みがよ〜くわかる本(秀和システム)」の著者であり、ISO関連の著書は20冊を超える。

本記事に関するお問い合わせ:kazuo.uchikawa@itecno.co.jp


Copyright © ITmedia, Inc. All Rights Reserved.

前のページへ |       

Security & Trust 記事ランキング

  1. 「SMSは認証に使わないで」 米CISA、モバイル通信を保護する8つのベストプラクティスを公開
  2. 2025年に押さえるべきセキュリティの重要論点をガートナーが発表 新しいリスク、脅威、環境の変化、法規制などの動きを把握する指標に使える
  3. 経営層の約7割が「セキュリティ対策は十分」一方で6割以上がインシデントを経験、1位の要因は?
  4. “ゼロトラスト”とトラスト(信頼性)ゼロを分かつものとは――情報セキュリティ啓発アニメ「こうしす!」監督が中小企業目線で語る
  5. よく聞く「複雑化するサイバー攻撃」は具体的にどう複雑なのか? 一例を医療系企業のランサム事例とともに解説
  6. 終わらせましょう。複雑過ぎるKubernetes/クラウドネイティブが生む心理的安全性の低下を――無料でクラウドセキュリティの勘所が分かる130ページの電子書籍
  7. 3割程度のSaaS事業者が標準的なセキュリティ対策をしていない アシュアードがSaaS事業者を調査
  8. 中小企業の20%の経営層は「自社はサイバー攻撃に遭わない」と信じている バラクーダネットワークス調査
  9. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  10. 増える標的型ランサムウェア被害、現場支援から見えてきた実態と、脆弱性対応が「限界」の理由
ページトップに戻る