★ 本記事のテーマ
CIAのリスクアセスメントの点数付けを細かくして運用するより、
リスクを本当に除去・回避する活動に集中しませんか?。
- ① ISMS運営に必要なアクション
- ② QMSとISMS 年間計画を比較
- ③ ISMSの年間スケジュールを立てると大変だとわかる
- ④ 効率よくISMSを運営するコツ
① ISMS運営に必要なアクション
ISMSを組織で運用するために、
規程や帳票の作成に加えて
実際にイベントを起こして行動する必要があります。
アクションを列挙
ISO27001 2022の要求事項と
管理策を照らし合わせて
運用に必要なアクションを挙げてましょう。
★運用に必要なアクション
| ISO27001 2022 要求事項および管理策 |
ISMS年間計画 |
| 5.1 リーダシップ 5.3 責任と権限 A5.1 情報セキュリティのための方針群 A5.2 情報セキュリティの役割及び責任 A5.3 職務の分離 A5.4 管理層の責任 |
今年度ISMS責任者決定 |
| 5.2 方針 | 今年度ISMSポリシーの改訂 |
| 5.2 方針 | 今年度ISMSマニュアルの改訂 |
| 6.2 情報セキュリティ目的及びそれを達成するための計画策定 | 年間セキュリティ目標 ・前年度の年度末評価、承認 反省点 ・今年度の内容協議・承認 四半期フォロー |
| 7.2 力量 A6.3 情報セキュリティの意識向上及び訓練 |
教育年間計画 承認 |
| 9.2 内部監査 | 内部監査(計画、実施、処置) |
| 6.1.2 情報セキュリティリスクアセスメント 6.1.3 情報セキュリティリスク対応 8.2 情報セキュリティリスクアセスメント 8.3 情報セキュリティリスク対応 |
リスクアセスメント (計画 実施) |
| 9.1 監視、測定、分析及び評価 | 外部審査(計画、実施、処置) |
| 7.5 文書化した情報 | 規程類見直し (計画 実施) |
| 7.1 資源 | 設備投資 稟議書 |
| A5.25 情報セキュリティ事象の評価及び決定 A5.26 情報セキュリティインシデントへの対応 A5.27 情報セキュリティインシデントからの学習 A5.28 証拠の収集 A5.29 事業の中断・阻害時の情報セキュリティ A5.30 事業継続のためのICTの備え |
事業継続テスト(BCP) 10月 |
| A5.22 供給者のサービス提供の監視、レビュー及び変更管理 A5.24 情報セキュリティインシデント管理の計画策定及び準備 |
ペネトレーションテスト毎Q 内容、計画 実施 |
| A8.13 情報のバックアップ | バックアップ 復元テスト年2回 |
| 9.3 マネジメントレビュー | マネジメントレビュー |
| A7.13 装置の保守 | 毎月点検、毎週点検事項 |
| 10.2 不適合及び是正処置 | インシデント報告 ヒヤリハット報告 是正処置 |
| A5.19 供給者関係における情報セキュリティ A5.20 供給者との合意における情報セキュリティの取扱い A5.21 情報通信技術(ICT)サプライチェーンにおける情報セキュリティの管理 A5.22 供給者のサービス提供の監視、レビュー及び変更管理 A8.29 開発及び受入れにおけるセキュリティテスト A8.30 外部委託による開発 |
情報セキュリティー供給者レビューチェック |
いかがでしょうか?
要求事項および管理策を満たすべく、年間計画を立てていきます。
アクションの作り方
先ほど、年間計画表は
一気に作れるものではありません。
何度も往復しながら、精度を高めていきます。
QCプラネッツも実際に組織に必要なISMSをすべて構築した上で
上表の年間計画を列挙しています。
★(1) マネジメントシステムをベースに年間計画を立てる
マネジメントシステムの経験があれば、
- 方針
- マニュアル
- 目標
- 責任と権限
- 力量
- 文書化した情報
- 内部監査、外部審査
- マネジメントレビュー
- 不適合と是正処置
- 継続的改善
はスラスラ出てくるでしょう。
ここが苦戦する場合は、
QMS,EMSなど
他のマネジメントシステムの要求事項
を見てみましょう。
★(2) 要求事項をさらに確認して年間計画に追加する
ISMSの場合は、
「ISO27001 2022 93個の管理策」
があるので、
各管理策から年間計画に求められるものを選びます。
先ほどの表の例では、
●事業継続テスト(BCP)
●ペネトレーションテスト毎Q 内容、計画 実施
●バックアップ 復元テスト年2回
●毎月点検、毎週点検事項
●情報セキュリティー供給者レビューチェック
を追加しました。
もちろん
ISOの要求事項ではなく、組織内から
必要とするアクションを計画してもよいでしょう。
例えば
●避難訓練
が1つ浮かびました。
②QMSとISMS 年間計画を比較
ISMSの運営管理は結構大変です。
QMSとISMSにおける年間計画を比較します。
| QMS 年間計画 | ISMS 年間計画 |
| 今年度品質方針の改訂 | 今年度ISMSポリシーの改訂 |
| 今年度品質マニュアルの改訂 | 今年度ISMSマニュアルの改訂 |
| 年間品質目標 -前年度の年度末評価、承認 反省点 -今年度の内容協議・承認 四半期フォロー |
年間セキュリティ目標 -前年度の年度末評価、承認 反省点 -今年度の内容協議・承認 四半期フォロー |
| 教育年間計画 承認 | 教育年間計画 承認 |
| 内部監査(計画、実施、処置) | 内部監査(計画、実施、処置) |
| ー(業務なし) | リスクアセスメント (計画 実施) |
| 外部審査(計画、実施、処置) | 外部審査(計画、実施、処置) |
| 規程類見直し (計画 実施) | 規程類見直し (計画 実施) |
| ー(業務なし) | 設備投資 稟議書 |
| ー(業務なし) | 事業継続テスト(BCP) 10月 |
| ー(業務なし) | ペネトレーションテスト毎Q 内容、計画 実施 |
| ー(業務なし) | バックアップ 復元テスト年2回 |
| マネジメントレビュー | マネジメントレビュー |
| 品質会議 | 毎月点検、毎週点検事項 |
| 品質トラブル報告、是正処置 | インシデント報告 ヒヤリハット報告 是正処置 |
| 取引先監査(計画、実施、処置) | 情報セキュリティー供給者レビューチェック |
| 取引先監査(計画、実施、処置) | 情報セキュリティー供給者レビューチェック |
いかがでしょうか?
似たような年間行事があることがわかります。
ただし、
ISMSの方が業務は多いと分かりますね!
特に、
事業継続テスト
などは
多くの要素と紐づいたり
組織の多くの人を巻き込むため、
業務負荷が重いです。
ISMSの運用は大変と
QMSと比較するとよくわかります!
③ISMSの年間スケジュールを立てると大変だとわかる
では、実際の年間スケジュールの立て方を考えてみましょう。
ある期間に集中しないよう
上手に分散して運用する必要があります。
また、
深刻な事故は急に襲ってきます。
余裕のある年間計画を立てることが大事です。
年間計画表のたたき台で考えよう
ISMSの年間計画表を作ってみました。
実際に作っていくと、次の問題点がわかります。
- 黄色枠の行事は、どの月に実施するかは決まっている。
青色枠の行事は、いつ発生するかわからないし、発生しないかもしれない。
赤色枠の行事がいつ実施するかを決める必要がある。 - 4月はすべての行事の計画で一番忙しい。
その次に忙しいのはまとめの3月。
それ以外の月は閑散期
閑散期に赤色枠の各行事を上手にいれたい。
とわかります。
なお、
★ 黄色枠の行事
- 今年度ISMS責任者決定(4月)
- 今年度ISMSポリシーの改訂(4月)
- 今年度ISMSマニュアルの改訂(4月)
- リスクアセスメント (計画 実施)(4月、まとめ3月)
- マネジメントレビュー(2月準備、3月)
- 毎月点検、毎週点検事項(毎月)
★ 赤色枠の行事
- 教育年間計画 承認
- 内部監査(計画、実施、処置)
- 外部審査(計画、実施、処置)
- 規程類見直し (計画 実施)
- 設備投資 稟議書
- 事業継続テスト(BCP)
- ペネトレーションテスト毎Q 内容、計画 実施
- バックアップ 復元テスト年2回
- 情報セキュリティー供給者レビューチェック
★ 青色枠の行事
- インシデント報告 ヒヤリハット報告 是正処置
年間計画表を完成させよう
上の制約条件をもとに、
年間計画表を完成させました。
閑散期に毎月3タスクとして、業務量をうまく分散することができました。
顧客、ビジネスパートナー、社内関係者
との調整や、
天変地異やインシデント
の影響もうけながらの
運営となります。
なので、
④ 効率よくISMSを運営するコツ
QMSより、ボリュームの多いISMSをどう効率よく運営すればよいかを解説します。
- 組織がISMSに慣れるまではむしろ手間をかける
- 完璧は目指さない
- 手段の目的化だけは回避する
1つずつ解説します。
組織がISMSに慣れるまではむしろ手間をかける
ISMSは売上増加する要素がなく、コスト面しかありません。
なので、リソースをかけたくないのが本音です。
しかし、ISMS運営に慣れる数年間は
しんどくても手間をおしまず、1つ1つマスターしていくことが求められます。
組織内のナレッジ、力量向上を初期の段階で高めておくと、
後が楽になるでしょう。
完璧は目指さない
たとえ、運用、規程、文書が完璧でも、
合格点を設けて、その中で組織に必要なことをしっかり構築していくことが大事です。
手段の目的化だけは回避する
煩雑な仕組みは、必ず、
特に、
ISO27001 管理策
を細かく手を出すと
目的を見失います。
情報セキュリティははっきり言って。
●ウィルススキャンの最新化
●変なメール、サイトにアクセスしない。
●外部にうっかり漏洩しない
という、基本のキをやれば、
大丈夫です。
国際ハッカー集団の犯行とか
怖いこというけど、
まず、やることをちゃんとやろう!
身の回りでできることをやればよいのです。
何となく、難しそうと
踊らされがちな情報セキュリティですが、
冷静に目的を達成するための組織運営を目指しましょう。
ISMSはツールであり、手段です。
あなたの組織で、何を目指すのか?が最も大事な問です。
まとめ
以上、「ISMSの年間スケジュールがわかる(結構大変)」を解説しました。
- ① ISMS運営に必要なアクション
- ② QMSとISMS 年間計画を比較
- ③ ISMSの年間スケジュールを立てると大変だとわかる
- ④ 効率よくISMSを運営するコツ