審査員コラム
「情報セキュリティ動向とISO27001改訂(2013年版)への対応事例」連載第3回

ISO9001/ISO14001/ISO27001 主任審査員 小野木 正人

2015/3/6up

ISO27001の豊富な審査経験を活かして、情報セキュリティや個人情報保護の動向、
ISO27001(2013年版)改訂の重要ポイントの解説、そしてこれらに伴う
組織の対応事例などを、数回に亘って連載します。(隔週金曜日掲載)

お断り
本コラムの内容は一般的な見解を述べたものであり、
個別の審査において一律に適用されることを保証するものではありません。


情報セキュリティ動向とISO27001改訂への対応事例 | ISO認証機関 ビューローベリタス
連載第3回となる本稿でも、引き続き2013年に改訂されたISO27001の改訂ポイントを解説します。

今回は、規格要求事項の“6.1 リスク及び機会に対処する活動”の“6.1.2 情報セキュリティリスクアセスメント”に関する規格改訂のポイントと留意点について解説します。
“6.1.2 情報セキュリティリスクアセスメント”では、このタイトル通り「情報セキュリティリスクアセスメントのプロセスを定め、適用すること」が求められています。

具体的には、下記に記載するa)〜e)までの5項目を決定することですが、2005年度版から細かな点が改訂されているので留意が必要です。
「a) 次を含む情報セキュリティのリスク基準を確立し,維持する。
 1) リスク受容基準
 2) 情報セキュリティリスクアセスメントを実施するための基準」
ここでは“リスク基準”として“リスク受容基準”と“リスクアセスメントを実施するための基準”が求められています。“リスク受容基準”は、2005年度版から変更されていませんが、“リスクアセスメントを実施するための基準”は、新しく追加された表現です。
従来からリスクアセスメントを行うことは必須であり、リスクアセスメントの方法を特定することが組織に求められていました。そのリスクアセスメント手法の中で、いくつかの“リスク評価基準”やリスク対策を取るかどうかの“判断基準”などを使用されていると思われますから、それらの“基準”を明確にしておけば、ここでは特に新たな対応や見直しは不要と思われます。

「b) 繰り返し実施した情報セキュリティリスクアセスメントが,一貫性及び妥当性があり,かつ,比較可能な結果を生み出すことを確実にする。」
この部分での2005年度版の表記は、“リスクアセスメントの方法は、比較可能で、かつ、再現可能な結果を生み出すことを確実にしなければならない”なので、リスクアセスメント手法に一貫性や再現性を求めているもので、従来からの変更はないと判断できます。

「c) 次によって情報セキュリティリスクを特定する。
 1) ISMSの適用範囲内における情報の機密性,完全性及び可用性の喪失に伴うリスクを特定するために、情報セキュリティリスクアセスメントのプロセスを適用する。
 2) これらのリスク所有者を特定する。」
ここでは、1)に関連する表記は、2005年度版にも同じものがあるので変更はありませんが、2)で求められている“リスク所有者”を特定することは、2013年版での新たな規格要求事項です。“リスク所有者”とは、原文では“risk owners”となっていることから、情報資産に対する“リスクの管理者”と読み替えることができます。

具体的な対応の方法としては、リスクアセスメントを行った結果、例えば「リスク評価表」「リスクアセスメントリスト」などの帳票に項目を追加して、それぞれのリスクに対応した“リスク所有者”を明示されている組織が多いようです。
昨年から今年にかけて、2013年度版への移行が増えていますが、この“リスク所有者”を特定することを見逃している組織が多いので、まだ移行が完了していないところは留意が必要です。

「d) 次によって情報セキュリティリスクを分析する。
 1) 6.1.2 c) 1) で特定されたリスクが実際に生じた場合に起こり得る結果についてアセスメントを行う。
 2) 6.1.2 c) 1) で特定されたリスクの現実的な起こりやすさについてアセスメントを行う。
 3) リスクレベルを決定する。」
このd)項に関しては、表現の違いはあっても、2005年度版にも同様の記載があるので、特に改訂対応の必要はないと判断しています。

「e) 次によって情報セキュリティリスクを評価する。
 1) リスク分析の結果と6.1.2 a) で確立したリスク基準とを比較する。
 2) リスク対応のために,分析したリスクの優先順位付けを行う。」
ここでは、1)に関連する表記は、2005年度版にも同じものがあるので変更はありませんが、2)で求められている“分析したリスクの優先順位付け”を行うことは、2013年版で微妙に改訂された規格要求事項です。微妙にと表現したのは、2005年度版でも“優先順位付け”が求められていたところがあるのですが、それは“リスク対応計画に移行した後のリスクに対する優先順位”でした。
従って、これまでは“リスク対応計画に移行しないリスク”には、優先順位を付ける必要がなかったのですが、2013年版では“分析したリスクのすべて”に優先順位を付ける必要があることです。これに気付かずに上記のリスク(太字部分)に優先順位を付けていない組織が多いので、留意が必要です。

連載第4回(3月20掲載予定)では、引き続き“6.1 リスク及び機会に対処する活動”を解説します。


(続く/本連載は隔週金曜日に掲載します)
・連載一覧はこちら

 

お問い合わせフォーム

 

お見積り依頼はこちらから

 

認証機関の変更をご検討ですか

 

フライヤー・パンフレットをダウンロード

 

開催予定一覧はこちら

 

関連ニュース

 

関連サービス