 |
|
|
 |
|
ISO27001の構築において最も負荷のかかる工程です。
膨大といえる作業の効率化を図ることのできるITツールをご紹介しております。 |
|
|
 |
|
現状調査では、適用範囲における事業に用いられている情報資産を洗い出します。事業担当部門ごとにインタビューや調査表を利用して行います。
情報資産洗い出しの後は、現状の管理策、過去のセキュリティ事件・事故や、それによる概算の損害額や対策費用についても調査し、脅威と脆弱性を認識します。 |
|
|
 |
|
JIS X 5080:2002では、情報資産のカテゴリ例としては、情報資産(紙情報と電子情報)、ソフトウェア資産、物理的資産、サービスがあります。
洗い出し作業の負荷の軽減と、分析作業の効率化に情報資産のグループ化が有効とされています。グループ化の対象の例としては、情報資産価値が一致するもの、保管形態や保管期間、用途などの属性が一致するもの、適用されるセキュリティ対策が同じであるものなどがあります。 |
|
|
 |
|
 |
|
情報資産目録が完成すると、情報ごとに価値を評価していきます。評価は、情報セキュリティの3要素である機密性・完全性・可用性(CIA)が侵された場合の影響又は被害の度合いから分析します。
リスクアセスメントの準備では、当該ISMSに適しており、また、明確にされた事業上の情報セキュリティ要求事項、並びに識別された法的および規制要求事項に適したリスクアセスメントの方法を特定する必要があります。
その後、受容可能なリスクの水準を経営陣によって決定されなければなりません。 |
|
|
 |
 |
|
リスクアセスメントでは、まずリスクの識別を行います。具体的には、当該ISMSの範囲内の資産及び資産の保有者を特定し、それらの資産に対する脅威を明確にします。そして、脅威によって利用されるおそれのある脆弱性を明確にし、機密性、完全性及び可用性の喪失が資産に及ぼすかもしれない影響を明確にします。
つぎに、リスクを分析し評価する必要があります。具体的には、セキュリティ障害に起因して想定される、組織に対する事業上の影響を評価します。そして、一般に認識されている脅威及び脆弱性並びに資産に関連する影響の観点から、起こりうるセキュリティ障害の現実的な発生可能性についてアセスメントを実施します。
最後に、リスクの水準を算定し、リスクを受容するための基準を使用して、当該リスクについて、受容できるか、対応(適切な管理策を採用する、リスクを回避、リスクを移転、リスクを保有する)が必要かを決めます。 |
|
|
 |
|
実施したリスクアセスメントの結果、そのままでは受容できないリスクに対して、リスク対応を選択し、各々の対応に応じたセキュリティ要求事項を明確化します。
明確化されたセキュリティ要求事項に対して、ISO27001の附属書A管理目的と管理策から管理目的に関連する管理策をすべて抽出し、必要性の有無を検討します。
選択した管理策については、情報資産が保有している脅威や脆弱性に対してどの程度のリスク値が軽減され、残留リスクがどの程度なのかを算出する必要があります。とくに管理策の選択後も残留リスクが高い場合には、追加の管理策を選択し、リスク値を受容可能な範囲に低減させる必要があります。 |
|
|
 |
|
| リスクアセスメントで選択した管理目的および管理策、並びにこれらを選択した理由を文書化し、適用宣言書に含めます。また、管理策に記載された管理目的および管理策の中から適用上、除外の理由の文書化が必要です。 |
|
|
 |
|
ISMS運用のための全社共通の規程類を策定します。
規程類は、情報セキュリティに関連する全社規程類、適用範囲内の情報セキュリティ管理のため必要なもので新たにガイドラインとして作成したもの、適用範囲内の情報セキュリティ管理を行うための共通な手順や運用規程などが必要にないります。 |
|
|
 |
|
| 残留リスクに対する経営陣の承認および当該ISMSを導入し、運用するための許可を得ます。 |
|
|
