リスクアプローチ
ISO27001:2013 今回の改訂で、リスクアプローチを適用するよう改訂されました。
旧規格では、マネジメントシステムを構築する際、他の規格同様、プロセスアプローチを推奨していましたが、情報
セキュリティマネジメントのアプローチ手法としては無理があり、今回の改訂で、リスクアプローチを適用するよう改訂されました。
当然、内部監査におけるアプローチ手法もリスクアプローチが適用されます。
ISO27001:2013 序文 0.1 概要 |
ISO27001:2005 序文 0.2 プロセスアプローチ |
ISMS は,リスクマネジメントプロセスを適用することによって情報の機密性,完全性及び可用性を維持し,かつ,リスクを適切に管理しているという信頼を利害関係者に与える。 ISMS を,組織のプロセス及びマネジメント構造(management structure)全体の一部とし,かつ,その中に組み込むこと |
この規格では,組織においてISMSを確立,導入,運用,監視,見直し,維持及び改善する際に,プロセスアプローチを採用することを奨励している。
|
プロセスアプローチ とは?
組織内においてプロセスを明確にし,その相互関係を把握し,運営管理することとあわせて,一連のプロセスを
システムとして適用することを「プロセスアプローチ」と呼びます。
例えば、顧客満足度向上のため、納期遵守を品質目標に掲げた場合、そのためには、製造部門だけではなく、製造
に必要な原材料、部品を予定通り入手してくれる調達部門の協力が必要となります。
このような場合、製造と調達を1つのプロセスと見做し、アプローチする必要があります。
プロセスアプローチは、一連のプロセスひとつひとつの作業が「本当に必要なプロセスに基づいて行われているか」
「作業工程の中に問題、ムリ、ムダな手順などはないか」等を見直す際、有効な手順です。
リスクアプローチ とは?
リスクマネジメントプロセス(リスクアプローチ)は、リスクを認識して対処していく過程のことをいいます。
監査のアプローチ
リスクマネジメントプロセスでは、採用した管理策 (リスク対応策) が、"リスクを適切にコントロールしているか"、その有効性についてを監査することがポイントになります。
有効性の評価には、2段階あります。
1. 整備状況の有効性評価
2. 運用状況の有効性評価
1. 整備状況の有効性評価
採用したリスク対応策は、管理策として有効かどうか判断します。
具体的には、規格要求事項に沿って、管理策を整備、実施、維持しているか監査します。
・その管理策はリスクの程度が許容可能なレベルにまで低減されているかどうか
・実施手順が文書化され、周知されているどうか
・人が増えたり、設備が増えた場合の対応状況に問題ないか ・・・
2. 運用状況の有効性評価
前項⑤で有効であると判断された管理策も、実際にその運用状況を確認しないと、リスクに対して本当に有効に
作用しているとは判断できません。
具体的には、その管理策は有効だったか、改善の余地はないか、陳腐化していないか監査します。
※ ISO27001では、附属書Aの管理策をベースに、運用環境を整備、実施、維持すれば有効だとされています。
従って、運用状況にムリ、ムダ、改善の余地はないか、管理策が陳腐化していないかなどを確認します。
附属書A
ISO/IEC27001 付属書Aには、(2013年版)には、情報セキュリティリスクに対する管理目的及び管理策
(リスク対策)が、A5~A18までのカテゴリに分かれ、14の管理分野、35の管理目的、114の管理策が明示されています。
この管理策には、実施基準 (セキュリティ管理策のベースライン) として、組織が打つべき具体的な対策の指針が書かれています。
規格では、組織はリスク対応プロセスで決定した管理策を、附属書A に示す管理策と比較し,
必要な管理策が見落とされていないことを検証するよう要求されています。
6.1.3 情報セキュリティリスク対応 | ||
c) 6.1.3 b) で決定した管理策を附属書A に示す管理策と比較し,必要な管理策が見落とされていないことを 検証する。 |
||
注記1 附属書A は,管理目的及び管理策の包括的なリストである。 この規格の利用者は,必要な管理策の見落としがないことを確実にするために, 附属書Aを参照することが求められている。 |
||
注記2 管理目的は,選択した管理策に暗に含まれている。 附属書A に規定した管理目的及び管理策は,全てを網羅してはいないため, 追加の管理目的及び管理策が必要となる場合がある。 |
||
附属書A 管理目的及び管理策 | ||
表A.1 に規定した管理目的及び管理策は,JIS Q 27002:2014の箇条5~箇条18 に規定したものをそのまま 取り入れており,両者の整合が保たれている。また,これらの管理目的及び管理策は,この規格の6.1.3に おいて用いる。 |
||
ISO27001 : 2013 |
(株)コンサルティングファーム
〒060-0013 札幌市中央区北13条西18丁目36-90
TEL:070-5048-1227
受付時間10~17時)
e-mail; info@isms-consal.jp