情報セキュリティマネジメントシステム 実施事項、組織体制、方針

ウィキペディア

情報セキュリティマネジメントシステム

出典: フリー百科事典『ウィキペディア（Wikipedia）』 (2024/04/16 14:40 UTC 版)

実施事項、組織体制、方針

実施事項

ISMSを行う組織には以下が求められる：

• ISMSに関する方針を定め^[21]、要求事項を満たすことや継続的改善へのコミットメントを実証する^[21]。
• リスクマネジメントなどISMSに関する計画を策定する^[22]。
• 必要な資源や力量を確保する^[23]。
• 策定した計画を運用する^[24]。
• ISMSの実施に関するパフォーマンスと有効性を評価する^[25]。
• 不適合が発生した場合に是正措置を行い、ISMSを継続的に改善する^[26]。

これらを行うため、ISMSではプロセスアプローチという手法が取られる^[27]。プロセスアプローチでは経営活動をインプットをアウトプットに変換するプロセスとみなし^[27]、これらのプロセスをシステムとして組織に適応・管理する^[27]。

一方、2005年度版のISO/ETCでは強調されていた^[28]PDCAサイクルは2016年時点での最新版である2013年度版では大きく後退しており、ISMSの規格本体であるISO/IEC 27001:2013（JIS Q 27001:2014）にはPDCAに関する記述はない^[29]。ISO MSSの共通基盤を与える附属書 SLでも、既存のマネジメントシステム規格で様々なモデルが採用されているという理由でPDCAサイクルなど1つのモデルを採用する事を避けている^[30]。

ただし附属書 SL ではPDCA サイクルの概念を受け入れており^[30][31]、JIPDECもPDCAサイクルを採用する事でISMSのプロセスが整理されるとしている^[29]。

組織体制

トップマネジメントとは最高位で組織を指揮し、管理する個人または人々の集まりである^[32]。トップマネジメントは情報セキュリティ目的（後述）ないしその枠組の提示やISMSの組織プロセスへの統合と必要な資源の提供を行い、ISMSに関して重要性の伝達、成果達成の保証、指揮、支援を行う^[33]。

トップマネジメントはISMSがJIS Q 27001:2014の要求事項に適合する事を確実にし、ISMSのパフォーマンスをトップマネジメントに報告する責任及び権限を割り当てねばならない^[34]。

そのような責任と権限を保証する具体的な組織体制をJIS Q 27001:2014は明示していないが、JIPDECは一例として、ISMSに関して中心的な役割を担う情報セキュリティ委員会を組織内に設置を推奨している^[35]。情報セキュリティ委員会の役割は例えばリスクマネジメントの環境整備、ISMS関連文書の決定、施策の検討と改訂、発生したセキュリティ問題の検討、ISMS運用の評価結果に基づいた改善といった事を行う事である^[35]。JIPDECはその他にも情報セキュリティ委員会に位置し、ISMSの構築・運用の実務や部署間の調停を担当する情報セキュリティ策定・運用チーム、専門家・外部コンサルタントの設置を推奨している^[35]。

情報セキュリティの方針群

ISMSを実施する組織は、組織の能力に影響を与える内部および外部の課題や^[36]、ISMSに関連する利害関係者の情報セキュリティに関する要求事項^[37]、他の組織との依存関係^[38]などを特定し、これらをもとにしてISMSの適応範囲の境界線や適応可能性を決定する^[38]。 こうした作業を行ったあと、トップマネジメントは、資産の情報セキュリティを担保するため、経営陣や管理者からなる管理層の承認のもと、情報セキュリティのための方針群を定める^[39]。これらの方針群の中で最も高いレベルに1つの情報セキュリティ方針を定めねばならない^[40][41]。

情報セキュリティ方針は

• 情報セキュリティに関連する適用される要求事項
• ISMSの継続的改善へのコミットメント

が含まれねばならず^[40]、以下を含むことが望ましい^[41]

• 情報セキュリティに関する全ての活動の指針となる，情報セキュリティの定義，目的及び原則^[41]
• 情報セキュリティマネジメントに関する一般的な責任及び特定の責任の，定められた役割への割当て^[41]
• 逸脱及び例外を取り扱うプロセス^[41]

なお、JIS Q 27001:2006では上位概念のISMS基本方針と下位概念の情報セキュリティ基本方針の２つがあったがJIS Q 27001:2014ではこれらは情報セキュリティ方針として統合された^[42]。

情報セキュリティ方針は情報セキュリティ目的もしくはそれを設定するための枠組みを含まねばならない^[33]。

情報セキュリティ目的は情報セキュリティ方針との整合性や実行可能な場合の測定可能性が求められ^[43]、「適用される情報セキュリティ要求事項，並びにリスクアセスメント及びリスク対応の結果を考慮に入れる」必要がある^[43]。

組織は，関連する部門及び階層において，情報セキュリティ目的を確立しなければならない^[43]

情報セキュリティの方針群の構成

情報セキュリティの方針群の構成に関して特に決まりはないが、IPAによれば一般的に以下のような３段階の階層構造なっている事が多い^[44]：

• 情報セキュリティ基本方針:「情報セキュリティの目標と、その目標を達成するために企業がとるべき行動を社内外に宣言するもの」^[44]。「なぜセキュリティが必要か」、「何をどこまで守るのか」、「誰が責任者か」を明確化する^[44]
• 情報セキュリティ対策基準: 基本方針に記載された目的を受けて「何を実施しなければならないか」を記述^[44]。情報セキュリティ対策を行うためのルール集^[44]。規程、適用範囲、対象者を明確化^[44]。
• 情報セキュリティ実施手順: 対策基準で定めた規程をどのように実施するかを記載^[44]。詳細な手順を記したマニュアル的な位置づけ^[44]。

上記３つのうち最初の２つ、もしくは３つすべてを情報セキュリティポリシーと呼ぶ。

一方JIPDEC^[45]の情報セキュリティポリシーのサンプルでは以下の5段構成で、最初の3つを情報セキュリティポリシーと呼んでいる。

• 情報セキュリティ基本方針：情報セキュリティへの取り組み姿勢を世の中に宣言^[45]
• 情報セキュリティ方針：ISMSの方針を記載。体制、役割、責任の明記^[45]
• 情報セキュリティ対策規定（群）：導入・順守すべき対策を日常レベルのものまで明記^[45]
• 情報セキュリティ対策手順書（群）：日々実施すべき具体的行動を明記^[45]
• 記録(群)：対策の遵守・運用に伴う記録^[45]

脚注

1. ^ JIS Q 27000:2014 箇条 0.1。
2. ^ JIS Q 27002:2014 箇条 0.1。
3. ^ ISMSガイド13, p. 13。
4. ^ ^{a b c} ISMSガイド13, p. 3, 4, 10, 97。
5. ^ MSS。
6. ^ JIS Q 31000:2010 箇条 2.1、JIS Q 27000:2014 箇条 2.68。
7. ^ ^{a b} JIS Q 27000:2014 箇条 2.68。
8. ^ 原田(2016) p. 3。
9. ^ JIS Q 0073:2010 箇条 3.5。
10. ^ ISMSガイド13, p. 51。
11. ^ JIS Q 13335-1 箇条 2.25、JIS Q 27000:2014 箇条 2.83。
12. ^ JIS Q 27005:2011、JIS Q 13335-1 箇条 3.3、ISMSガイド13, p. 35。
13. ^ JIS Q 27000:2014 箇条 2.89。
14. ^ ^{a b c d e f g h i j k l m n} JIS Q 27001:2014 箇条 6.1.2、6.1.3。
15. ^ ISMSガイド13, p. 30。
16. ^ ^{a b} JIS Q 27000:2014 箇条 2.79。
17. ^ JIS Q 27000:2014 箇条 2.35。
18. ^ JIS Q 27000:2014 箇条 2.36。
19. ^ JIS Q 27000:2014 箇条 2.37。
20. ^ JIS Q 27000:2014 箇条 2.34。
21. ^ ^{a b} JIS Q 27001:2014 箇条 5。
22. ^ JIS Q 27001:2014 箇条 6。
23. ^ JIS Q 27001:2014 箇条 7。
24. ^ JIS Q 27001:2014 箇条 8。
25. ^ JIS Q 27001:2014 箇条 9。
26. ^ JIS Q 27001:2014 箇条 10。
27. ^ ^{a b c} JIS Q 27000:2014 箇条 2.61、JIS Q 27001:2006 箇条 0.2、ISMSガイド06, p. 9、ISMSガイド13, p. 13。
28. ^ ISMSガイド06, p. 7。
29. ^ ^{a b} ISMSガイド13, p. 14。
30. ^ ^{a b} mss-faq 11. 「附属書 SL の構造において“プロセスモデル”又は“PDCA モデル”が使われていないのはなぜか」
31. ^ MSS SL.5.2 注記１「有効なマネジメントシステムは、通常、意図した成果を達成するために"Plan-Do-Check-Act"のアプローチを用いた組織のプロセス管理を基盤とする」
32. ^ JIS Q 27000:2014 箇条 2.84。
33. ^ ^{a b} JIS Q 27001:2014 箇条 5.1。
34. ^ JIS Q 27001:2014 箇条 5.3。
35. ^ ^{a b c} ISMSガイド13, pp. 43-44。
36. ^ JIS Q 27000:2014 箇条 4.1。
37. ^ JIS Q 27000:2014 箇条 4.2。
38. ^ ^{a b} JIS Q 27001:2014 箇条 4.2。
39. ^ JIS Q 27001:2014 箇条 5.1、JIS Q 27002:2014 箇条 5.1。
40. ^ ^{a b} JIS Q 27001:2014 箇条 5.2。
41. ^ ^{a b c d e} JIS Q 27002:2014 箇条 5.1。
42. ^ ISMSガイド13, p. 40。
43. ^ ^{a b c} JIS Q 27001:2014 箇条 6.2。
44. ^ ^{a b c d e f g h} 情報セキュリティマネジメントとPDCAサイクル「情報セキュリティポリシーの策定」 IPA。2016年8月3日閲覧
45. ^ ^{a b c d e f} 情報セキュリティポリシーサンプル改版（1.0版）概要(pdf)、pp. 5-6、JIPDEC。2016年8月3日閲覧。
46. ^ ISMSリスク編13, p. 4。
47. ^ JIS Q 27000:2014 箇条 2.76、JIS Q 31000:2010 箇条 2.2。
48. ^ ^{a b} JIS Q 31000:2010 箇条 2.3。
49. ^ リスクマネジメント規格 図1。
50. ^ JIS Q 31000:2010 箇条 5.3。
51. ^ JIS Q 31000:2010 箇条 2.25。
52. ^ ^{a b} JIS Q 31000:2010 箇条 2.28。
53. ^ JIS Q 31000:2010 箇条 2.14、2.15、2.24。JIS Q 27000:2014 箇条 2.71。
54. ^ JIS Q 27000:2014 箇条 2.75。
55. ^ JIS Q 27000:2014 箇条 2.70。
56. ^ JIS Q 27000:2014 箇条 2.73。
57. ^ JIS Q 27000:2014 箇条 2.74。
58. ^ ISMSリスク編13, pp. 23-24。
59. ^ ISMSリスク編13, p. 30。
60. ^ ISMSリスク編13 p. 31。
61. ^ ^{a b} JIS Q 27002:2014 箇条 8.1.1。
62. ^ ISMSリスク編13, p. 35。
63. ^ ISMSリスク編13, pp. 50-51。
64. ^ JIS Q 27000:2014 箇条 2.69。
65. ^ ISMSリスク編13 pp. 52-54。
66. ^ JIS Q 27000:2014 箇条 2.16。
67. ^ ^{a b} ISMSリスク編13, p. 57。
68. ^ ISMSガイド13, p. 23。
69. ^ ^{a b c d e} “情報セキュリティマネジメントとPDCAサイクル「リスクアセスメント」”. IPA. 2017年7月5日閲覧。
70. ^ ^{a b c d e f} ISMSリスク編13, p. 14。
71. ^ ^{a b c d} 瀬戸洋一. “プライバシー影響評価ガイドライン実践テキスト”. インプレスr&d. p. 14. 2017年7月5日閲覧。