Tatecs ISOコンサルティング ISO認証取得・維持支援 タテックス有限会社 舘 喜久男
4. 組織の状況から10. 改善
最終更新:
tatecs
ISO27001 > ISO27001-2013 > 4. 組織の状況から10. 改善 > 付属書A.管理目的及び管理策 > 詳細管理策の解説 > 情報セキュリティ用語 > 医療情報処理業 ISO27001 > 製造業 ISO27001 | サイトマップ
4. 組織の状況
「4.1 組織及びその状況の理解」
組織の外部及び内部の課題を決定する要求事項が記載されており、これは、2005年版の予防処置に対応する要求事項といわれています。
<< 予防処置の概念 >>
ISO 27001「4.1組織及びその状況の理解」では、「組織は、組織の目的に関連し、かつ、・・・決定しなければならない 」とあります。 一方、 ISO/IEC 27001:2005では、「組織は、ISMSの要求事項に対する不適合の発 生を予防するために、起こり得る不適合の原因を除去する処置を決定しなければならない。とられる予防処置は、起こり得る問題の影響に見合ったものでなければならない」としています。 このことは、マネジメントシステムの目的は、予防的なツールの役割があり、事業目的に関連し、意図した成果を達成する組織の能力に影響を与える、外部及び内部の課題を広い観点で評価をすることです。
さらに「6.1 リスク及び機会に対処する活動」においても、広い観点でマネジメントシステムが、その意図した成果を達成することに取り組むことである。これらの二つの要求事項はセットで予防処置の概念を網羅しているものと考えられます。
「4.2 利害関係者のニーズ及び期待の理解」
利害関係者の要求事項を把握することが明確化することが要求事項として用意されており、この要求事項には、法的、規制要求事項、契約上の義務も含めても良いとされています。
「4.3 情報セキュリティマネジメントシステムの適用範囲の決定」
適用範囲の決定には、
- 「4.1 外部及び内部の課題」 と
- 「4.2 利害関係者のニーズ及び期待の理解」 「自社の活動と他の組織が行う活動との接点・ 依存関係」を考慮することとされています。
2005 年版の 適用範囲の要求事項である「4.2.1 事業・組織・所在地・資産・技術の特徴の見地から,ISMS の適用範囲及び境界を定義する」は削除されています。
「4.1 外部及び内部の課題」では、SWOT分析などの手法を用いて行うこともあり得ます。
「4.4 情報セキュリティマネジメントシステム」
2005 年版の「4.1 一般要求事項」の部分に対応しますが、PDCA モデル図 の参照は削除されました。
5. リーダーシップ
この箇条では、ISMS におけるトップマネジメントの具体的な役割が要求事項となっています。
2005 年版「5.1 経営陣のコ ミットメント」は、2013年版の「5.1 リーダーシップ及びコミットメント」「5.2 方針」「5.3 組織の役割、責任及び権限」に対応しています。
「5.1 リーダーシップ及びコミットメント」
ISMS に関するリーダーシップ及びコミットメントを実証することが記載されています。 トップマネジメントの果たすべき重要な役割の 1 つにコミットメントがあります。 ISMS の確立、実施、運用及び維持等に関与し、組織として情報セキュリティの実施責任を利害関係者に宣言する「コミットメント」は、執行権限を有するトップマネジメントにのみ実施する事が許されるからです。
「5.2 方針」
セキュリティ方針 を確立することが記載されています。 2005年版では、ISMS policy(ISMS 基本方針)と ISMS objectives(ISMS の目的)という用語が使われていましたが、2013 年版では、それらが information security policy( 情報セキュリティ方針)と information security objectives(情報セキュリティ目的)に 変更されています。
「5.3 組織の役割、責任及び権限」
責任及び権限の割り当て、組織内への伝達について記載されてい ます。
組織が自らの情報セキュリティ目的に向かって活動するためには、役割を決め、それに対する責任及び権限を割り当てることは重要です。
ISMS で自分がどのような役割を担い、どこまでする責任があるのか不明確であれば、各従業員は何をしたら良いか迷い、何もせずに終わってしまうことが考えられます。
このような状況に陥らないためにも、トップマネジメントが情報セキュリティに関連する役割を決め、それに対する責任と権限を割り当てたことを組織内に周知する必要があります。
6.計画
情報セキュリティ方針の確立に関する部分となります。
「6.1 リスク及び機会への取り組み」
ISMS の計画を策定するときに、組織は、リスクだけでなく、「機会」も考慮することが求められるようになりました。
さらに、その対象として、「b ) 望ましくない影響を防止、又は低減する」が用意されており、これが、2005 年版の予防処置に対応する部分の 1 つになります。
<< リスクの定義 >>
ISO/IEC27001:2013「6.1 リスク及び機会に対処する活動 」の「 6.1.1」では、「ISMSの計画を策定するとき、組織は、4.1に規定する課題及び4.2に規定する要求事項を考慮し、・・リスク及び機会を決定しなければならない」としています。
一方、ISO/IEC27001:2005では、「リスクを特定するために、ISMSの適用範囲の中にある資産及びそれらの資産の管理責任者を特定し、それらの資産に対する脅威と脆弱性を特定し、・・資産に及ぼす影響を特定する」としています。 このことは、ISO31000のリスクの定義では、「目的に対する不確かさの影響 」のことであり、「影響とは、期待されていることから、好ましい方向又は好ましくない方向に乖離すること」としています。 「機会」が好ましい方向への乖離に対する処置の意味と解釈すると、リスクの中の「好ましい方向への乖離への対応」と「機会」はダブっている ことになります。 この「機会」をどのように解釈するかということよりも、リスクマネジメントにおける事業リスクを理解することが重要です。 リスクの定義は、その分野に固有のリスクとして定義することもできますが、ISO31000の5.3.1を考慮して「4.1 組織及びその状況の理解」との整合を確保することが、リスクの重要なポイントとであると考えらます。
「6.1.2情報セキュリティリスクアセスメント」
全てが ISMS 固有の要求事項となります。 組織は、情報セキュリティのリスクアセスメントプロセスを定義しなければならない、とされています。
要求事項の d )情報セキュリティリスクの特定は、2005 年版の 箇条 4.2.1 d )に対応する部分ですが、2005 年版と比較して、資産、脅威、脆弱性の用語が削除されています。 これはISO31000 との整合性を考慮したためと考えられます。
「6.1.3 情報セキュリティリスク対応」
リスク対応の要求事項であり、2005 年版と大きな相違はありません。 ただし、リスクの「受容」「回避」「移転」の要求事項が削除されています。 組織は、情報セキュリティリスク対応プロセスを適用しなければならないとされています。
また、組織は、情報セキュリティリスク対応プロセスに関する文書化された情報を保持しなければならない、とされています。
「6.2 情報セキュリティ目的及びそれを達成するための計画 策定」 6.2 Set security objectives and develop plans to achieve them
関連する部門及び階層において、情報セキュリティ目的を確立することと、情報セキュリティ目的には、a )情報セキュリティ方針との整合から、j )結果の評価方法までの事項を満たすことが要求事項になっています。
7. 支援
7.支援のプロセスでは、効果的な ISMS を確立し、実施し、維持し、かつ継続的に改 善するために必要な支援の詳細を記載しています。
7で要求される文書類を文書化し、管理し、維持しながら、人々 の力量、並びに利害関係者との反復的及び必要に応じたコミュニケーションを確立するこ とを通じて、ISMS の運用の支援について規定しています。
7.1 資源
2013 年版の「7.1 資源」は、2005 年版の「5.2.1 経営資源の提供」に対応します。
トップマネジメントは、ISMS の必要性を理解し、そのために必要な資源の決定と提供を行わなければなりません。
ここで資源とは、「人」、「金」、「物」、「情報」など指しています。
例えば、ISMS 推進体制及び要員、情報機器を含む物品、活動経費となる資金、リスクに関する情報などです。
資源提供の留意点は、資源を必要とする時点には、必要な資源を確保しておくことがあげられます。 そのためには、今後必要となる資源を予測して事前に対応しておくことで手遅れになることが防げます。
トップマネジメントは、特にこの資源の決定に深く関与します。 トップマネジメントの重要な役割の 1つは、「人」、「物」、「金」、「情報」といった資源の提供です。
7.2 力量
2013 年版の「7.2 力量」と「7.3 認識」は、2005 年版の「5.2.2 教育・訓練、認識及び力量」に対応します。
7.2 では、7.1 で特定された人的資源に対して、各々の役割と責任に応じた必要な力量を備えていることを確実するために、行わなければならないことを規定しています。
つまり、
- 力量を構成する要件を決定する。
- 必要とする力量と要員の力量とのギャップを分析し、必要な教育・訓練と経験によっ て力量をもたせる。
- 教育以外にも注記にあるように再配置や雇用や外部委託契約も含め、とった処置がギ ャップを埋めるに有効であったか、狙い通り課題解決が図られたかを評価する。
- 一連のこれらの活動の記録を力量の証拠として作成する。 ということを行うことになります。
7.3 認識
7.3 では、会社の管理下で働く人々が、情報セキュリティ方針や ISMS の有効性に対する自らの貢献、ISMS 要求事項に適合しないことの意味を認識することを規定しています。 会社(組織)の管理下で働く人々は、自らの情報セキュリティについての活動の意味とその重要性を認識し、情報セキュリティ方針及び目的の達成に向けてどのように貢献できるかを認識できるものとすることが必要です。 7.2 で実施する教育・訓練の内容は、それを実現するものであることが求められます。
7.4 コミュニケーション
2013 年版の「7.4 コミュニケーション」は、新しく追加された要求事項です。 7.4 では、内外関係者との意思疎通が求められています。 コミュニケーション手段としては、メール・会議・Web 掲載など多岐にわたりますが、それらの利用に際して明確にしなければならない点を 7.4 で規定しています。
7.5 文書化した情報
2013 年版では、これまでの「文書」や「記録」という用語が、「文書 化された情報」という用語に置き換わりました。 2013 年版の「7.5 文書化された情報」に、文書化された情報の作成、更新、管理な どの要求事項が記載されています。
8. 運用
この箇条は、PDCA サイクルの「Do 」に対応するところです。
「8.1 運用の計画及び管理」
(箇条 4 から箇条 7までが、「Plan 」に対応) 「8.1 運用の計画及び管理」で、情報セキュリティ目標を達成するために、組織は、必要なプロセスを計画し、実施し、かつ管理しなければならない、 そして、6.2 で決定した情報セキュリティ目標を達成するために、 計画を導入しなければならない、という要求事項が記載されています。
「8.2 情報セキュリティリスクアセスメント」
ここは ISMS 固有の要求事項です。
情報リスクアセスメントは、6.1.2 で決め た基準を考慮に入れ、あらかじめ定められた間隔、または重大 な変化が生じた場合に実施しなければならない、とされています。
8.2 では、情報セキュリティリスクアセスメントを 6.1.2 a)で確立した基準に従って、あらかじめ定めた間隔、また必要な都度(重大な変更が提案されたか若しくは重大な変化が 生じた場合)、実施することが要求されています。
組織内外の環境は、常に変化しているため、リスクも変動していることを念頭に置き、リスクアセスメントを適時に実施することが必要です。
なお、重大な変更が提案され若しくは重大な変化が生じた場合の情報セキュリティリスクアセスメントの実施は、JIS Q 27001:2014 で新たに追加された要求事項となっています。
「8.3 情報セキュリティリスク対応」
ここも ISMS 固有の要求事項であり、情報セキュリティリスク対応計画を導入しなければ ならない、とされています。 そして、情報セキュリティリスク アセスメント、及び情報セキュリティリスク対応の結果については、文書化された情報を保持しなければならない、とされています。
8.3 では、8.2 での情報セキュリティリスクアセスメントの結果により、対策の必要のあるリスクへの対応策を実施すること、及び対応結果の文書化した情報を保持することを規定しています。
情報セキュリティリスク対応計画については、6.1.3 においてこれを作成するプロセスを定め、適用することが求められています(6.1.3 参照)。
情報セキュリティリスク対応計画は、8.2 に従って実施した情報セキュリティリスクアセスメントの結果を考慮して(6.1.3 a))実施することとなります。
9. パフォーマンス評価
この箇条は、PDCA サイクルの「Check 」に対応するところです。
「9.1 監視、測定、分析及び評価」
この箇条は、2005 年版の「4.2.2(d )」と「4.2.3(c )」(管理策の有効性の評価)に対応します。 有効性の評価に関しての要求事項は、2005 年版と比較して、 より具体的になっています。 監視及び測定が必要な対象はもとより、監視、測定、分析及び評価の方法、実施時期、 実施者、分析及び評価の時期、実施者などです。 また、適切な文書化した情報を保持することを求めています。
某○△□※のコンサルタントのブログ、ホームページには、内部監査で監視・測定を行えば問題ない、運用も楽といった記述がありました。これを鵜呑みにしてシステム構築運用するのは
絶対に止めましょう。死に体のシステムに誘う悪魔のささやきです。こんなひどいコンサルが
たくさんいるからISOは役立たないといったことになるのです。マネジメントシステムとして何
が必要なのか、今一度本物のコンサルタントに指導を受けるべきです。
「9.2 内部監査」
この内部監査は、2005 年版 の「6 ISMSの内部監査」に対応します。
ISMS に関して組織自 体が規定した要求事項と、ISO/IEC 27001 の要求事項への適合し、有効に実施され維持されていることを確認します。 ただし、法令または規制の要求事項への適合は明示的には記載されていません。
内部監査の手順を含む監査プログラムについて文書化が要求されています。
監査プログラムには、内部監査の計画、実施、報告、フォローアップの一連の流れと関連する記録の保持についての責任、力量及び
要求事項を文書化することが要求されています。
また、監査基準、監査範囲についても明確化を求めています。
監査員の選定については、 監査プロセスの客観性及び公平性を確保することを要求しています。
これは、有益な監査結果を得るために重要なことです。
内部監査員になるには、内部監査員研修を受講するのが一般的です。
研修終了者は、実務経験を積み、改善を指摘できる人材として活躍していく必要があります。
「9.3 マネジメントレビュー」
マネジメントレビューは、2005 年版の「7. ISMS のマネジメントレビュー」に対応します。 インプット・ア ウトプットの内容が変更されており、例えば、2005 年版のマ ネジメントレビューへのインプットに記載されていた以下の項目は、2013 年版では削除されています。
- ISMSの実施状況及び有効性を改善するために組織において 利用可能な技術、製品または手順
- 過去のリスクアセスメントで適切に取り扱われなかった脆弱 性または脅威
- 有効性の測定結果
10. 改善
この箇条は、PDCA サイクルの「Act 」に対応するところです。
「10.1 不適合及び是正処置」
不適合及び是正処置は、2005 年版の「8.2 是正処置」に対応します。
是正処置の要求事項は大きな変更はありません。 また、前述の通り、2005 年版の「8.3 予防処置」は削除されましたたが、予防処置に対応する要求事項は、箇条 4 と箇条 6 に用意されています。
不適合とは、JIS Q 27000:2014 では「要求事項を満たしていないこと」と定義されています。 ISMS における要求事項の例として次が挙げられます。
- JIS Q 27001:2014 の規格要求事項
- JIS Q 27001:2014 に基づいて組織が自ら定めた要求事項
- 顧客からの契約による要求事項
- 法規制による要求事項
「 10.2 継続的改善」
継続的改善は、2005 年版の「8.1 継続的改善」に対応しており、組織は、情報セキュリティマネジ メントシステムの適切性、妥当性、及び有効性を継続的に改善 しなければならない、と記載されています。
ISMS の活動は、常に継続的改善に結び付けることが重要です。
継続的改善は continual improvement の訳です。continual ということから、 時間的に切れ目なく連続である必要はなく、断続的でも継続して行われることを意味しています。
ISMSでは、情報セキュリティ方針及び目的、リスクマネジメント、監査結果、監視した事象の分析、是正処置、並び にマネジメントレビューを通じて、ISMS の適切性、妥当性及び有効性を継続的に改善することが重要です。
関連リンク
ISO27001 > ISO27001-2013 > 4. 組織の状況から10. 改善 > 付属書A.管理目的及び管理策 > 詳細管理策の解説 > 情報セキュリティ用語 > 医療情報処理業 ISO27001 > 製造業 ISO27001 | サイトマップ
情報セキュリティマネジメントシステム コンサルティング
2013年版での新規認証取得支援のコンサルティング、システム運用保守支援、改善支援、内部監査代行サービスなどを行っております。
御見積りは信頼と実績のタテックスまでお問合せください。
お問合せは、ここをクリック→お問合せ
