【情セキ.008】情報セキュリティマネジメントシステム
佐藤@IT雑貨屋です。
情報セキュリティマネジメントについて前回の記事で少し書きましたが、これを実際に組織に適用し、マネジメントシステム(管理する体制)として構築する事について、ここに書いてみます。
◆適用範囲
前の章にも少し書きましたが、情報セキュリティマネジメントシステム(ISMS:Information Security Management System)を構築する際に、最初に行う事は、組織の状況を理解し、ISMSの適用範囲を定義することdす。例えば部門という組織を適用範囲にすべきなのか、業務を適用範囲とすべきなのか。そこは組織の現状を理解して、情報資産を守るためにどの様な適用範囲にすべきかを決める必要があります。ここでは「どこまでを対象とするのか」という境界を見定める事が極めて重要になります。
◆リーダーシップ
ISMSも他のISOによるマネジメントシステム同様に、トップマネジメント(経営層の関与)が極めて重要となってきます。ISMSでは情報資産を守る取り組みなのですが、組織の資産を守る事でもあるので、その構築には組織を指揮、管理する組織の首脳部である経営層がしっかりと関与していかないと、けして上手く行く事ではありません。情報セキュリティ対策は経営の一環として取り組むべき事なのです。
◆ガバナンス
ガバナンス(統治)とは、組織でルールを定め、そのルールを全体で実行させる事を指します。情報セキュリティのガバナンスについてはJIS Q 27014で定義されていますが、次のプロセスを実行する必要があります。
・評価
将来の戦略的目的の達成を最適化するために必要な調整を決定する
・指示
情報セキュリティの目的及び戦略について指示を与える
・モニタ
営々ん人が戦略的目的の達せ邸を評価することを可能にする
・コミュニケーション
利害関係者との間で、特定のニーズに沿って情報セキュリティに関する情報
を交換する
・保証
独立した立場からの客観的な監査、レビューまたは認証を委託する
◆計画(PLAN)
ISMSの計画を策定する際には、対処すべきリスクを決定する必要があります。そのために、情報セキュリティリスクアセスメントのプロセスを定め、それを運用します。また、そお結果を考慮して、適切な情報セキュリティリスク対応を選択します。さらに、情報セキュリティの目的を明確にし、文書化しておきます。
情報セキュリティマネジメントの運用は、全体的に計画して実施をする必要があります。その計画は組織の事業計画等を考慮して計画する必要があり、その内容については規程類に文書化して定めておく必要があります。
◆運用(DO)
情報セキュリティを確保するためには、計画したことを継続して実施し、管理をしていかなければなりません。そのためには適切な運用が不可欠となります。また組織に重大な変化(業種の変化や規模の変化など)があった場合には、改めて情報セキュリティリスクアセスメントを実施し、リスク対応を実施するなど、新たなリスクに備える必要があります。
◆パフォーマンス評価(CHECK)
ISMSの実施段階では、その有効性を評価します。構築したマネジメントシステムが有効に機能しているか、評価しなくてはなりません。具体的には内部監査を行い、ISMSが有効に実施され、適切に維持されているかを評価確認します。またその結果はマネジメントレビューを行い、経営層に報告する必要があります。
◆改善(ACT)
パフォーマンス評価の結果、不適合が発生した場合には、それについて改善措置を講じる必要があります。不適合には是正措置を講じてその有効性のレビューを行います。またこの措置は継続していく事で、マネジメントシステムを継続的に改善する必要があります。
◆管理目的及び管理策
JIS Q 27001:2014では、付属書Aとして管理目的及び管理策のリストが示されています。情報セキュリティのための方針や組織、人的資源のセキュリティ、アクセス制御や暗号、物理的及び環境的なセキュリティなどについて、その目的や管理策がまとめられています。ISMSでは、この管理策リストから、必要なすべての管理策を決定し、必要な管理策が見落とされていないか検証する必要があります。
このマネジメントシステムを構築する事で、組織として情報セキュリティに取り組む体制が出来ますが、如何に「継続的改善」を長期にわたり、地道に続けて行けるか、実はそこに本当の意義があるのです。
このマネジメントシステムの構築は、往々にして「認証取得」の為に構築し、大抵は短期間の間に構築される事から、運用が難しい体制になっているケースが多くあります。ですから、経営層がしっかりと絡みながら、継続的改善をつづけ、組織に見合ったマネジメントシステムを目指して継続する事が、とても大事な事なのです。