TOP
>
プロジェクト管理
> リスクアセスメントに関する変更
ISMSからみる情報セキュリティ対策
第7回:ISMS認証規格の動向と関連法令等の対応
著者:
みずほ情報総研 青木 淳
2005/11/28
前のページ
1
2
3
4
次のページ
リスクアセスメントに関する変更
リスクアセスメントについては、「ISMSの監視及び見直し」でリスクアセスメントの見直しが要求され、「文書化に関する要求事項」ではリスクアセスメントの手法について文書化要求事項として明示されている。
4.2.3 d
あらかじめ定められた間隔でリスクアセスメントの見直しを行い、残留リスクおよび識別された受容可能なリスク水準の見直しを行う。
4.3.1 d
リスクアセスメントの方法についての説明
表2:リスクアセスメントに関する変更
経営者の責任の追加
「経営陣の責任」で内部監査の実施が追加された
5.1 g
ISMSの内部監査が実施されることを確実にする。
表3:経営者の責任の追加
大きな変更点は以上の通りである。ISMSの認証を取得している企業であれば、リスクアセスメントについてはなんらかの形で実施しており、その文書化をしていないケースは少ないと思われる。
また、文書化をしていれば、おそらく文書化の見直しやISMSの見直しのタイミングで、リスクアセスメントの見直しについても実施していると思われる。また内部監査についても同様で、経営者の責任を文書追加する程度で、それほど変更に対する体力はかからないと思われる。
しかしながら、管理策の有効性の測定については、注意が必要である。何を持ってこの基準が満たされるのかはまだ明確なものはないが、おそらくリスク対応として実施した管理策について、なんらかの形でモニタリングする必要があるだろう(例えば、セルフチェックシートのようなものを定期的に実施する、あるいは管理策を実施したことによるセキュリティ事件・事故の件数の低下など)。
したがって、今後のISMSではリスク対応を検討する際に、管理策を選択するだけでなく、その管理策が有効であるかどうかの検証項目も同時に考えておく必要があると思われる。ここの動向については、今度もウォッチしていく必要がある。
ISO/IEC 17799:2005(27002)の概要
ISO/IEC 27001の「付属書A:管理目的及び管理策」に規定されている詳細管理策は6月に発行されたISO/IEC 17799:2005が規定した133の管理策に合わせている。ここでは、ISO/IEC 17799:2005の概要について記載する。ISO/IEC 17799:2000からの変更点としては、まず領域が10から11に増えたことである(図3)。
図3:ISO/IEC 17799:2005(2000年度版との比較)
情報セキュリティの事件・事故管理に関する分野が増えており、これまで他の領域に分散していたものを1つの領域としてまとめた感がある。管理策についても、127から133に増えている。実際には、17項目が追加となり、9項目の管理策が削除・再編成された。削除された管理策は以下の通りである。
A.4.1.1 情報セキュリティ委員会
A.4.1.5 専門家による情報セキュリティ助言
A.8.1.6 外部施設・設備の管理
A.9.4.2 指定された接続経路
A.9.4.4 ノードの認証
A.9.5.6 利用者を保護するための脅迫に対する警報
A.10.3.2 暗号化
A.10.3.3 デジタル署名
A.10.3.5 否認防止サービス
表4:削除された管理策
前のページ
1
2
3
4
次のページ
著者プロフィール
みずほ情報総研株式会社 青木 淳
みずほ情報総研株式会社 システムコンサルティング部 シニアマネジャー
情報セキュリティを中心としたコンサルティング業務を担当。最近のプロジェクトでは、ISMS適合性評価制度認証取得支援コンサルティング、情報セキュリティ監査、個人情報保護法対策支援コンサルティング、情報セキュリティポリシー・スタンダード策定コンサルティングなど。ITコーディネータ、ISMS審査員補。
INDEX
第7回:ISMS認証規格の動向と関連法令等の対応
はじめに
リスクアセスメントに関する変更
ISO/IEC 17799:2005(27002)の変更点
A11 アクセス制御
