2022年10月、ISO/IEC 27001が改訂され、2020年版が発行されました。JIS版(日本語版)は、2023年中には発行されるようです。
ここでは、情報セキュリティはなぜ重要なのかについて振り返り、ISO27001と27002との関係やISMSが求める情報セキュリティを守るための管理策について説明します。
情報セキュリティマネジメントの目的
情報セキュリティというと、会社の情報資産の機密性、完全性、可用性を維持することが重要だと言われ、リスクマネジメントとも関連があります。
機密性、完全性、可用性の意味は下表の通りです。
機密性 |
以下のことを防ぐこと
|
---|---|
完全性 | 重要な判断(決断)を行うために使う情報の信頼性を確保するため、以下のことをふせぐこと
|
可用性 | 必要な情報を必要な時に必要な場所で使えること |
情報セキュリティマネジメントの目的は、会社の情報資産の機密性、完全性、可用性を維持することです。
情報資産の種類や規模は、会社(組織)により様々ですが、情報セキュリティマネジメントにより情報資産を保護することはどの様な業界や規模の会社でも必要なことであり、会社にとってもメリットがあります。
情報資産と情報資を守る意味
次に情報資産について説明します。
情報資産とは
会社(組織)には、会社にとって「価値がある」と認識され、様々な方法で保管されている様々な情報があります。
情報資産とは、会社にとって価値があり保管されている情報の一部であり、次の様なものがあります。
- 事業戦略
- マーケティングプラン
- 営業関連:顧客リスト
- 設計・開発・製造関連:特許、様々な手順書
- 設計や製造、プロジェクトなどの管理記録
これらの情報資産を列挙していくと、実に様々なものがいろんなところに分散していることが分かります。
情報資産の一例は、以下をご参照ください。
情報資産に関するポイントを列挙します。
- 情報資産は、すべてIT部門(情報システム部門)が所有しているわけではありません。むしろIT部門が管理しているのは、会社の情報資産の一部です。
- だいぶ電子化が進んでいるとはいえ、紙の記録として保持されている情報資産は少なくありません。情報資産は、電子記録だけではなく紙などの他の媒体を含みます。
- 会社が保有する情報資産は、新しい文書が追加されたり、古い文書の統廃合があったりと、時間の経過とともに変化していくことにも注意が必要です。このため、インフラや設備などの固有資産と同様、情報資産も長期的な視点で監視・維持する必要があります。
情報資産を守るとはどういうことか
情報資産を守るための手順について説明します。
情報資産の洗い出し
情報資産を守る(保護する)ためには、まずは、対象となる情報資産を洗い出す。具体的には情報資産のリストを作るところから始まります。
情報資産の機密性、完全性、可用性の検討
情報資産のリスト(目録)ができると、各情報資産の機密性、完全性、可用性を損なうリスク(脅威)を検討することができます。
情報資産の管理策の検討
情報資産のリスク(脅威)を特定することで、管理策を検討することができます。情報資産のリスクは、理想的には完全に取り除きたいものですが、リスクを緩和したり、ある程度のリスクは受け入れる(受容する)といったことも現実的には必要です。
管理策の効果の評価
情報資産に管理策を適用し、リスクに対してどのような影響を与えたか(効果があったか)を確認します。具体的には次の様なことを確認します。
- 管理策の効果はあったか?
- 管理したが何も違いはなかったか?
ここで注意することは、時間の経過とともにリスクは変化したり、新たなリスクが発生したりします。このため、うまくいった管理策でも、定期的な見直しが必要です。
なお、新たな情報資産が追加された場合には、最初から上述のプロセスを繰り返します。
ISO/IEC27001と27002との関係
ISO/IEC27001の構成は以下の様になっています。
- ISO/IEC27001の要求事項(序文と箇条1~10)
- ISO/IEC27001の付属書A(管理策:ISO/IEC/27002から引用)
つまり、ISMSの情報セキュリティマニュアルには、
- ISMSマニュアル(ISO/IEC27001)+(具体的な)管理策(ISO/IEC27002)
が含まれるということです。
この点がISO9000シリーズの品質マニュアルとは違います。
なお、今回のISMS規格の改訂は、ISO/IEC27001の本文の変更はほぼなく、管理策に大きな変更があります。
ISMSのマニュアルと管理策については、JIS版が発行されてからまとめたいと考えています。
まとめ
2022年10月、ISO/IEC 27001が改訂され、2020年版が発行されました。JIS版(日本語版)は、2023年中には発行されるようです。
そこで、情報セキュリティはなぜ重要なのか、ISO27001と27002との関係やISMSが求める情報セキュリティを守るための管理策について以下の項目で説明しました。
- 情報セキュリティマネジメントの目的
- 情報資産と情報資を守る意味
- 情報資産とは
- 情報資産を守るとはどういうことか
- 情報資産の洗い出し
- 情報資産の機密性、完全性、可用性の検討
- 情報資産の管理策の検討
- 管理策の効果の評価
- ISO/IEC27001と27002との関係