ISO/IEC27001コンサルティング Q&A
- ISO 27001の適用範囲はどのように決定すれば良いのですか?
- ISO27001においてリスク分析が必要な「資産」には何が該当しますか?
- 資産はどの範囲まで捉える必要があるのですか?
- 資産のリスク対応はどのように決定すれば良いのですか?
Q1:ISO 27001の適用範囲はどのように決定すれば良いのですか?
A:ISO 27001の適用範囲は、組織全体とすることがマネジメントシステムとしては有効です。
規格の1.適用範囲には「組織又は組織の一部が、必要性に応じて情報セキュリティ管理策を適切に実施できるように要求事項を規定している」とあるように組織全体で取り組むのか、一部で取り組むのかを選択することができます。
適用範囲を決定するにあたり、下記の事項を参考に決定すると良いでしょう。
- 顧客、潜在顧客、株主等の要求・期待への適合
- セキュリティ事件・事故発生時の事業継続性
- セキュリティに関する社員のモラルの向上
Q2:ISO27001においてリスク分析が必要な「資産」には何が該当しますか?
A:ISO 27001では資産は「組織にとって価値をもつもの」とあり、組織の活動に有用なものはすべて資産と定義しています。
また、ISO 27001の引用規格であるISO 17799では資産を下記のように分類しています。
- 情報資産:データベース、データファイル、契約書、同意書、システム文書、研究情報、ユーザマニュアル、訓練資料、操作手順、事業継続計画など
- ソフトウェア:アプリケーションソフト、システムソフト、開発ツールなど
- 物理的資産:コンピュータ装置、通信装置、取り外し可能な媒体、など
- サービス:計算処理サービス、通信サービス、暖房・照明・電源・空調等などのユーティリティなど
- 人、資格、能力、経験など
- 組織の評判、印象などの無形物
Q3:資産はどの範囲まで捉える必要があるのですか?
A:資産は、情報セキュリティにおける重要性を判断して特定します。
例えば、上記d)で示されている空調について、事務室に設置されているエアコンは業務環境を快適に保ち、業務効率を向上させるなど作業環境のうえでは重要ですが、情報セキュリティに及ぼす影響は大きくありません。
一方、サーバルームのエアコンは、サーバの異常停止などを防止することを目的に設置されるため、情報セキュリティにおいて重要な資産と位置づけられます。
従って、サーバルームに設置されているエアコンは情報資産として特定する必要があります。
また、特定した資産は規格の付属書A.7.1.1にあるように資産目録を作成すると明確になります。
Q4:資産のリスク対応はどのように決定すれば良いのですか?
A:資産のリスク対応のためにリスクアセスメントを行います。リスクアセスメントは様々な方法があり、組織に適した方法を選択します。
リスクアセスメントの方法を決定する際は、ITセキュリティマネジメントのためのガイドラインであるISO/IEC TR 13335が参考になります。
一般的にリスクアセスメントは、資産に対する脅威(資産にどのような危険があるのか)とぜい弱性(資産の脅威に対する弱さ)、並びに資産の機密性・完全性及び可用性に及ぼす影響の観点から分析し、評価を行います。
リスク対応は、リスク分析、評価の結果にもとづき下記の選択肢からいずれかを選んで実施します。
- 適切な管理策を規格の附属書Aから選択し、実施します。ただ、附属書Aに示されている管理策はすべて網羅されているとは限らないので、組織は必要に応じ追加の管理策を採用する必要があります。
- リスクを受容できる基準を明確にし、これを満たす場合は経営陣の承認の上、リスクを受容します。
- リスクを回避するため、関連する活動を中止するなどの措置を行います。
- 保険に加入するなどリスクを組織外に移転します。
