QCプラネッツ

カテゴリー: 情報セキュリティ

  • ISMS,ISO27001 内部監査員に必要な力量がわかる

    ISMS,ISO27001 内部監査員に必要な力量がわかる

    本記事のテーマ

    ISMS,ISO27001 内部監査員に必要な力量がわかる

    監査員教育と監査実施経験から

    情報セキュリティ
    ISOマネジメントシステム

    で十分です。

    情報セキュリティの専門性は高い方がよいが
    あった方がよい程度

    「意外だ」と思うでしょう。

    「意外な理由」と
    必要な力量を
    わかりやすく解説します。
    • ①必要な力量
    • ②情報セキュリティの専門性より抽象力が大事
    • ③情報セキュリティチェックは組織全員で守り抜けることを見るべき
    • ④ISMS ISO27001 内部監査員になるために必要な参考書

    ①必要な力量

    監査員に求められる力量の通例

    実際に、ISMS監査員やISO27001審査官は
    ソフトウェア開発を長年やってきたプロが転身する
    ケースがほとんどです。

    なので、

    情報セキュリティの専門性が高い方がよいと思われがちですが、
    監査員に必要な力量はそうでもないです。

    大事なのは

    情報セキュリティが詳しいに越したことはないが
    情報セキュリティが組織で本当に機能しているかが大事。
    なので、マネジメントシステムの方に重みがある。

    QCプラネッツの経験では、下図のように、

    情報セキュリティ
    ISOマネジメントシステム

    で十分です。

    ②情報セキュリティの専門性より抽象力が大事

    当然、情報セキュリティの基礎は必須

    ここで注意なのは、

    情報セキュリティを知らなくていいとは言っていません。
    最低限の知識や理解は必要です。

    ISOだけやっていればいいわけではありません。
    情報セキュリティの勉強が必要です。

    言いたいのは、

    情報セキュリティの専門性が相当高くないと
    ISMS,ISO27001に携われないと
    自らハードルを上げる必要は無い!

    と言うことです。

    QCプラネッツの経験上、

    特に技術者は、
    ハードウェア寄りの思考である人と
    ソフトウェア寄りの思考である人が
    います。
    前者が不利なように見えますが、
    ソフトウェア思考に翻弄される必要はありません。

    【チェックください!】知っておくべき情報セキュリティのレベル

    では、ISMS,ISO27001監査に求められる
    情報セキュリティの専門性の高さをチェックします。

    どれくらいわかるか?確認しましょう!
    数問程度ですが、サンプルチェックとします。

    情報セキュリティの専門性チェック

    1. 「CIA」とは?
    2. 「http」と「https」の違いは?
    3. 「マルウェア攻撃」とは?
    4. 「ゼロディ攻撃」とは? 防御方法は?
    5. 「VPN」とは?あった方がよい理由とは?
    6. 「ウェブフィルタリング」とは?あった方がよい理由とは?
    7. などなど

    いかがでしょうか?
    難しいでしょうか?

    正直

    情報セキュリティの基本やん!

    そうです!その通りです!

    要求事項に情報セキュリティ用語があるが
    その周辺が理解できればOK!

    後で紹介しますが、

    IPA「情報セキュリティマネジメント試験」
    対策の教科書1冊を手元にあればよい。

    で構いません。

    情報セキュリティの専門性が相当高くないと
    ISMS,ISO27001に携われないと
    自らハードルを上げる必要は無い!

    情報セキュリティの専門性は低くてよいようなイメージを与えるかもしれませんが、次の点はしっかりと作りこむ必要があります。

    【重要】用語よりその意味を理解する

    一言でいえば、

    情報セキュリティの知識という「手段」に走るな!
    情報セキュリティの求められている「目的」をしっかりとらえろ!

    が大事です。

    たくさんの攻撃手段
    それに対する対処方法
    についての用語がたくさんあります。

    でも、

    それはどういう目的なのか?
    と考え、
    「統体」していく思考を持ってください。

    リスクアセスメントを総合的にみてもよいですが、下図のようにシンプルに集約できます。シンプルになるように統体して考え抜きました。

    そして、

    情報セキュリティの専門用語を正確に覚えること以上に、「自分の言葉でその目的をわかりやすく」説明できる方が数倍重要です。

    例えば、

    VPNって何ですか?

    監査員としてどう答えるべきか?

    ×な回答

    VPNとはVirtual Private Networkの事です。 
    (相手は混乱するし、だから何なの?です。)

    ○な解答

    インターネットに入ると外の不審者が侵入してくるリスクがあります。なので、自分たちだけの空間の中だけネットできるようにして、外部侵入を防ぐものです。
    (わかりやすいし、相手がどう防御すべきかも理解できる。)

    たくさんの情報セキュリティの用語や概念が出てきます。
    丸暗記ではなく、目的を理解し、
    自分なりに層別することが大事です。

    これができれば、専門用語はそれほど怖くありません。

    【一番重要】組織全体がセキュリティ対応できる仕組・運用ができているかの方がよっぽど大事

    あなたの情報セキュリティの専門性より、

    あなたの監査評価・助言によって、
    相手の組織が情報セキュリティ向上につながることの方が
    もっと大事!

    ですよね!

    たくさんある要求事項を
    たくさん人がいる組織全体である一定以上の
    セキュリティを担保させなければいけません。

    となると、

    組織全体・全員が本当に
    求められる情報セキュリティ活動ができているか?
    一番脆く、ショボい所が狙われるリスクを
    見つけて、処置して、回避できるか?

    をしっかり見る力量の方が大事です。

    QCプラネッツは

    ISO9001とISO27001
    両方見ておいてほしい

    と願っています。

    マネジメントシステムの基礎であり、理解しやすいISO9001を軸に、
    情報セキュリティ寄りなISO27001へ広げていく視野が
    組織とって良い監査質疑・評価ができるようになると分かっています。

    ①でも述べた通りですが、具体的に抽象化する方法を解説します。

    【重要】情報セキュリティとは詰まる所、それは何か?

    という問いを自問しましょう。これが一番大事!

    QCプラネッツは

    豪邸の防犯対策を考えるとわかりやすい。
    防犯体制が万全な豪邸で
    ●どう守るのか?
    ●逆に、どうやって侵入するか?
    を考えていけば、
    自ずと手段がわかってくる。
    情報セキュリティも防犯も全く考え方は同じ。

    ●防犯体制が万全な豪邸で、外部侵入が難しいことが容易に想像つきます。だから内部を狙う(内部不正・情報漏洩)

    ●強い相手を倒すことより、弱くてトロイ者が狙われる。(正面突破より脆さ・騙しで侵入)

    シンプルにこれくらいしかありません。

    カタカナ用語で、難しいサイバー攻撃と言われると何か怖いイメージがありますが、よく考えるとやること、守ることはそれほどありません。

    難しい専門性を磨くより、「組織の脆さ、トロそうな人を注意喚起するようがよっぽど大事」

    監査質疑ができるために抽象力は必須

    監査で一番神経を使うのが、

    相手に何を、何のために問いのか?

    です。

    専門性を確認しても意味がないし、
    組織の情報セキュリティ強化につながる問いでなければ意味がない。

    組織が欲している課題とその解決方法をどのように指導できるか?につながる問いを監査質疑では求められます。

    なので、専門知識を自分の言葉で説明ができ、相手にどう動いてもらうかを伝えるところまで、考え抜く必要があります。

    暗記ではなく、思考!

    ③情報セキュリティを組織全員で守り抜くことが一番大変

    情報セキュリティに対する組織という相手を知りましょう。

    2,6,2の法則

    情報セキュリティに限らず、「2,6,2の法則」は一般に成り立ちます。

    ●2 言わなくても自ら対応するモラルが高い人
    ●6 面倒くさい、興味がないと無風の人
    ●2 トロく、何かしでかすかもしれない人

    監査質疑対応する側は、

    ●2 言わなくても自ら対応するモラルが高い人<

    です。

    大事なのは、

    監査回答していない
    下の2の人や無風の6の人が情報セキュリティのカモにされやすい!
    このあたりを守り切れるか。

    です。

    組織の情報セキュリティは
    どこか1か所でも突かれるとインシデントになってしまいます。

    当たり前のことを全員守らせるのが一番難しいし、
    それを気づかせる監査質疑が必要。

    やる気がない人や、トロイ部分をどうやって
    良くしていけばいいのでしょうか?

    監査ポイント

    組織全員へ浸透させ、行動に移せているかを監査でみましょう。

    ●どんな汗をかいているのか?
    ●組織が動機づけするための苦労があるかどうか? 
    ●組織メンバーが自分事としているのか?
    ●要求事項の番号にあてはめより、組織が本当に機能しているかをチェックしたい。

    そのためには、

    監査前の事前情報や
    相手の組織に近い組織を想定して
    情報セキュリティでどんな活動や課題があるかを
    想定して監査でみていくこと

    情報セキュリティの専門用語や要求事項はその後でもよい。

    となるはずです。

    ④ISMS ISO27001 内部監査員になるために必要な参考書

    ここまで読んでいただければ、わかると思います。

    1. 情報セキュリティマネジメント試験対策用の教科書1冊
    2. ISO9001 の本1冊
    3. ISO27001 の本1冊

    でOKです。

    余力があれば、

    IPA(情報処理推進機構)の情報セキュリティ10大脅威20XX年
    の事例をチェックし、なぜ発生したかを考える演習をしてください。

    最初は、知識や情報を暗記で安心しますが、
    監査はその情報から課題抽出・解決を導く思考力が
    求められます。

    専門用語の正確さも大事ですが、
    目的達成に必要な提案力・思考へシフトしていけば、
    立派な監査質疑ができるようになります。

    頑張りましょう

    まとめ

    以上、「ISMS,ISO27001 内部監査員に必要な力量がわかる」を解説しました。

    • ①必要な力量
    • ②情報セキュリティの専門性より抽象力が大事
    • ③情報セキュリティチェックは組織全員で守り抜けることを見るべき
    • ④ISMS ISO27001 内部監査員になるために必要な参考書
  • ISMS,ISO27001 組織に必要な規程類がわかる

    ISMS,ISO27001 組織に必要な規程類がわかる

    本記事のテーマ

    ISMS,ISO27001 組織に必要な規程類がわかる

    多くの要求内容を求められる
    ISMS,ISO27001ですが、
    組織に必要なルールとは
    具体的にどんなものかは
    あまり知られていません。

    組織で必要最低限のルールを解説し
    ISMSの構築の仕方をお伝えします。

    言われたとおりルールを作ると
    ルールだらけになり
    運用が厳しくなる。
    それこそ、サイバーリスクが高まってしまう!
    • ①【リンク】組織がゼロからISMS(ISO27001)水準に引き上げる手順がわかる
    • ②必要な規程類の概要を解説!
    • ③規程類一覧

    ①【リンク】組織がゼロからISMS(ISO27001)水準に引き上げる手順がわかる

    大事なのは

    なぜそのルールがあるのか?
    背景を理解することです。

    当然、組織の初期の状態は、
    情報セキュリティは気持ちはあっても、ルール等は未整備です。

    その組織にいろいろな苦労を経て
    ISMSが構築されていったはずです。

    その経緯、流れを理解することが大事です。

    関連ブログ記事にて、確認ください。

    【リンク】【重要】組織がゼロからISMS(ISO27001)水準に引き上げる手順がわかる
    どんな背景・理由を経て、ISMSを構築していったのか?をわかりやすく解説します。

    ②必要な規程類の概要を解説!

    リンクの解説記事のとおり、
    必要な規程類がいくつかあります。

    その規程類の種類、目的、必要な要求事項を下表にまとめます。

    それぞれの要求事項を眺めることで
    ISMS運営に何が必要かを
    具体的にイメージすることができます。

    ここまで具体的に紹介する記事が
    意外とないので、
    QCプラネッツから紹介します。

    ③ 規程類一覧

    個別に見ていきます。

    (1)情報セキュリティーポリシー

    目的

    組織一丸となって取り組む宣言

    必要な要求事項

    ・情報の「機密性・完全性・可用性」の維持
    ・法令・規制・契約の遵守
    ・情報セキュリティ管理体制
    ・リスク管理
    ・教育・訓練
    ・インシデント対応
    ・継続的改善
    ・方針(情報セキュリティポリシー)の公開

    (2)ISMSマニュアル

    目的

    組織全体の運営方針(規程類に書いていない内容)

    必要な要求事項

    ・ISMS適用範囲
    ・引用規程(ISO27001)
    ・組織内の用語・定義
    ・組織内規程類とISO27001要求事項との関係
    ・組織体制(体制図、ネットワーク図、フロアーズ、緊急体制図)

    (3)情報セキュリティ運営管理規程

    目的

    情報セキュリティ運営の必要項目

    必要な要求事項

    ・組織体制(役割・責任)
    ・コミュニケーション(情報セキュリティ会議)
    ・組織間の協力(社内外)
    ・外部委託契約におけるセキュリティ要求事項
    ・情報セキュリティマネジメントシステム目標・計画・実行
    ・マネジメントレビュー
    ・文書管理(文書管理規程としてもよい)

    (4)リスクマネジメント管理規程

    目的

    リスク管理運用方法

    必要な要求事項

    ・リスク評価定義
    ・情報資産の分類・評価
    ・リスクアセスメント評価・運用
    ・リスク低減施策・運用

    (5)適合性管理規程

    目的

    法的、ライセンス順守・管理手順

    必要な要求事項

    ・法的要求事項の順守
    ・知的所有権を遵守するための実施事項
    ・ライセンス管理

    (6)システムの開発および保守管理規程

    目的

    情報システムの運用(ISO27001 管理策8. 技術的管理策)

    必要な要求事項

    ・マルウェア対策
    ・技術的脆弱性の管理
    ・構成管理
    ・データマスキング
    ・データ漏洩防止
    ・情報のバックアップ
    ・ログ・監視・保護
    ・ネットワーク管理
    ・ウェブフィルタリング
    ・暗号管理
    ・開発環境管理

    (7)事業継続管理規程

    目的

    不慮の災害や事故等による被害を最小化するための運用

    必要な要求事項

    ・リスク洗い出し
    ・インシデントからの復旧目標
    ・インシデント対応手順
    ・平時の維持管理
    ・リスクアセスメントの実施と評価
    ・事業継続計画テストの運用・評価

    (8)アクセス管理規程

    目的

    アクセス管理

    必要な要求事項

    ・利用者のアクセス管理
    ・特権的アクセス権の管理
    ・モバイル機器の方針
    ・リモートワーク
    ・供給者関係

    (9)物理的・環境的管理規程

    目的

    組織の物理・環境についての運営体制

    必要な要求事項

    ・物理的セキュリティ境界
    ・物理的入退
    ・装置のセキュリティ・保守

    (10)人的セキュリティ管理規程

    目的

    人的ミスや不正行為などのリスクを回避

    必要な要求事項

    ・雇用
    ・教育・力量
    ・懲戒
    ・情報削除

    (11)内部監査管理規程

    目的

    ISMS,ISO27001 内部監査要求事項

    必要な要求事項

    ・内部監査関係者
    ・監査計画
    ・監査実施手順・結果報告
    ・是正処置

    (12)外部審査管理規程

    目的

    ISMS,ISO27001 外部審査要求事項

    必要な要求事項

    ・審査の計画
    ・審査の実施
    ・審査結果と処置

    (13)是正処置管理規程

    目的

    不適合を除去するための是正処置

    必要な要求事項

    ・不適合発生
    ・処置手順
    ・処置の有効性評価

    (14)セキュリティ事件・事故管理規程

    目的

    インシデント発生による被害を最小化

    必要な要求事項

    ・リスクアセスメント結果によるシステム監視
    ・情報セキュリティインシデントを想定
    ・事故発生時の報告指示体制
    ・事業継続管理
    ・懲戒手続き
    ・再発防止対応

    いかがでしょうか。
    1つずつ見ていけば、
    項目だけでも、
    あなたの組織でやるべきことが
    具体的に見えるはずです。

    いきなりルールを作るのではなく
    組織にISMSの必要性
    ISMSで何をしたいか?
    をしっかり構想することが大事です。

    まとめ

    以上、「ISMS,ISO27001 組織に必要な規程類がわかる」を解説しました。

    • ①【リンク】組織がゼロからISMS(ISO27001)水準に引き上げる手順がわかる
    • ②必要な規程類の概要を解説!
    • ③規程類一覧
  • 【重要】組織がゼロからISMS(ISO27001)水準に引き上げる手順がわかる

    【重要】組織がゼロからISMS(ISO27001)水準に引き上げる手順がわかる

    本記事のテーマ

    【重要】組織がゼロからISMS(ISO27001)水準に引き上げる手順がわかる

    多くの要求内容を求められる
    ISMS,ISO27001ですが、
    どの組織も最初から細かくルールを
    構築・運用しているわけではありません。

    組織で必要最低限のルール運用から
    ISMS,ISO27001要求レベルまでの上げ方を
    解説します。

    要求レベルは
    少しずつ上げていかないと
    組織が追い付かないことを
    意識しましょう。
    • ①【リンク】ISMS,ISO27001 運用する組織に必要な規程が何かがわかる
    • ②ISMS化する前の組織の状態
    • ③ISMS化するステップを解説!

    ①【リンク】ISMS,ISO27001 運用する組織に必要な規程が何かがわかる

    まず、ゴールである、
    ISMS,ISO27001 運用する組織に
    必要な規程一覧を
    紹介します。

    関連ブログ記事にて、確認ください。

    【ISMS,ISO27001 運用する組織に必要な規程が何かがわかる】リンク
    情報セキュリティは煩雑な運用になりがちなため、必要最低限にするコツが大事!

    規程類一覧

    リンクのとおり、
    情報セキュリティは品質管理より要求事項が多いため、
    必要最低限の規程類でまとめることが大事です。

    その一覧は

    No ISMS 目的
    1 情報セキュリティーポリシー 経営陣からの情報セキュリティに対する宣言
    2 情報セキュリティ運営管理規程 ISMS体制・責任を定めたもの
    3 文書化した情報の管理 文書管理方法
    4 ISMSマニュアルの発行・管理 規程類以外で、必要な定義をまとめたもの
    5 セキュリティ事件・事故管理規程 インシデント発生時の対応方法
    6 人的セキュリティ管理規程 力量向上に必要な要求事項
    7 是正処置管理規程 不適合、インシデント発生後の処置方法
    8 内部監査管理規程 内部監査運用
    9 外部審査管理規程 外部審査運用
    10 事業継続管理規程 不慮の災害・事故に対する被害を最小化するルール
    11 アクセス管理規程 アクセス管理方法
    12 物理的・環境的管理規程 業務フロアー内のルール
    13 リスクマネジメント管理規程 リスクへの対応方法
    14 法規制管理 情報セキュリティ法規制関連

    運用に必要な規程類・マニュアルの詳細を紹介

    上の表にて、
    それぞれの規程類の目的
    規程類以外にISMSマニュアルを追加
    を加えます。

    それを下表でまとめます。

    番号 文書一覧
    1 (1) 情報セキュリティーポリシー
    2 (2) ISMSマニュアル
    3 1 適用範囲関連資料(1.組織図)
    4 2 適用範囲関連資料(2.周辺地図・ビル全体図・フロア図)
    5 3 適用範囲関連資料(3.ネットワーク図)
    6 4 適用範囲関連資料(4.ISMS推進体制図&緊急連絡体制図)
    7 (3) 情報セキュリティ運営管理規程
    8 1 年間情報セキュリティ目標
    9 2 情報セキュリティ委員会録
    10 3 プロジェクト会議録
    11 4 稟議書
    12 5 外部委託における契約書,SLA
    13 6 マネジメントレビュー報告書
    14 7 マネジメントレビュー議事録
    15 8 文書管理台帳
    16 (4) リスクマネジメント管理規程
    17 1 情報資産台帳
    18 2 重要資産持ち出し管理台帳
    19 3 リスクアセスメント表
    20 (5) 適合性管理規程
    21 1 法規制管理台帳
    22 2 ライセンス管理台帳
    23 (6) システムの開発および保守管理規程
    24 1 ブロックリスト
    25 (7) 事業継続管理規程
    26 1 訓練記録
    27 2 バックアップ確認表
    28 3 復旧手順書
    29 4 事業継続計画テスト結果記録
    30 (8) アクセス管理規程
    31 1 アカウント管理台帳
    32 2 アカウント申請書
    33 3 誓約書
    34 4 リモートワーク許可申請書
    35 5 情報セキュリティー供給者レビューチェックリスト
    36 (9) 物理的・環境的管理規程
    37 1 入退室管理台帳
    38 2 来訪者入退室管理台帳
    39 3 作業報告書
    40 4 情報資産台帳廃棄管理台帳
    41 (10) 人的セキュリティ管理規程
    42 1 力量管理表
    43 2 力量認定要件表
    44 3 教育・研修アンケート
    45 4 教育・研修受講記録管理台帳
    46 (11) 内部監査管理規程
    47 1 内部監査員リスト
    48 2 内部監査計画書
    49 3 内部監査結果
    50 4 内部監査報告書
    51 (12) 外部審査管理規程
    52 1 改善機会一覧表
    53 (13) 是正処置管理規程
    54 1 是正処置要求・報告書
    55 (14) セキュリティ事件・事故管理規程
    56 1 セキュリティ事件・事故報告書

    必要最低限なものまで絞りましたが、それでもかなりの文書が必要だとわかりますね。

    ②ISMS化する前の組織の状態

    どの組織でも、最初からISMS,ISO27001には対応していません。

    自分たちなりに、
    情報に対するルールや運用方法がある程度でしょう。

    ISMS化する前の組織運用

    自分たちなりに必要なルールや運用方法はどんなものかを列挙しましょう。

    番号 文書一覧
    3 1 適用範囲関連資料(1.組織図)
    4 2 適用範囲関連資料(2.周辺地図・ビル全体図・フロア図)
    5 3 適用範囲関連資料(3.ネットワーク図)
    10 3 プロジェクト会議録
    11 4 稟議書
    31 1 アカウント管理台帳
    32 2 アカウント申請書

    ぐらいでしょう。

    組織に関する基本情報、会議録、アカウント設定くらいがある程度でしょう。

    この状態から
    ISMS,ISO27001レベルに必要な
    規程類・文書を構築していきましょう。

    ③ISMS化するステップを解説!

    大事なことは、

    組織にとって、
    不確定要素(リスク)が全くなければ、
    何もしなくていい。

    でも、

    情報関連のトラブルに巻き込まれたり、
    逆に、情報セキュリティへのアピールによる高評価を得たい
    などを受け、
    ISMS,ISO27001レベルに
    上がっていくわけです。

    これから、1例として4つステップで
    組織が情報セキュリティへの取り組み強化する
    様子を解説します。

    • 【ステップ1】情報セキュリティトラブルが起きてしまった。
    • 【ステップ2】トラブルが頻発するようになった。
    • 【ステップ3】顧客、ビジネスパートナーへのリスク回避必須となった
    • 【ステップ4】ISMS構築、ISO27001取得が必須となった。

    1つずつ見てきましょう。

    【ステップ1】情報セキュリティトラブルが起きてしまった。

    気持ちとしては、本来はやりたくない業務です。

    しかし、そんな組織にトラブルが発生することで
    仕方がなく、対策を取り始めるのが現実
    です。

    意外と思うかもしれませんが

    いきなり映画みたいな高度攻撃」ではない!
    身近で地味なミスが始まる!
    だけど、
    それを放置しておくと
    致命傷になりうるトラブルに
    発展します。

    品質、環境などの管理系において、だいたい当てはまります。

    具体的には、

    1. フィッシングメール・マルウェア添付ファイル
    2. メール誤送信・添付ミスによる情報漏えい
    3. パスワード使い回し・弱い認証による不正ログイン
    4. ランサムウェアによる業務停止(バックアップ不備)
    5. ノートPC・USBメモリ・紙資料の紛失・盗難

    このような攻撃を受けて、被害に遭って初めて
    対策を投じることになります。

    対策

    ちょっとしたルール化や
    ルールを運用するための文書・帳票が
    登場するようになります。

    番号 文書一覧
    3 1 適用範囲関連資料(1.組織図)
    4 2 適用範囲関連資料(2.周辺地図・ビル全体図・フロア図)
    5 3 適用範囲関連資料(3.ネットワーク図)
    6 4 適用範囲関連資料(4.ISMS推進体制図&緊急連絡体制図)
    10 3 プロジェクト会議録
    11 4 稟議書
    27 2 バックアップ確認表
    28 3 復旧手順書
    31 1 アカウント管理台帳
    32 2 アカウント申請書
    55 (14) セキュリティ事件・事故管理規程
    56 1 セキュリティ事件・事故報告書

    上表の黄色マーカー部分が追加されるでしょう。
    ・緊急体制
    ・バックアップ・復旧
    ・事故報告書
    などの必要最低限のものが追加されることが
    イメージできますね。

    【ステップ2】トラブルが頻発するようになった。

    【ステップ1】で済めばここでEndですが、

    同じようなトラブルが頻発します。
    最初は軽視していても、
    さすがにまずい!となり、
    目先のトラブル回避だけでなく
    ルール運営が必要となります。

    ルール運営化するために、
    規程がいくつか増えます。

    表で追加部分を見てみましょう。

    番号 文書一覧
    3 1 適用範囲関連資料(1.組織図)
    4 2 適用範囲関連資料(2.周辺地図・ビル全体図・フロア図)
    5 3 適用範囲関連資料(3.ネットワーク図)
    6 4 適用範囲関連資料(4.ISMS推進体制図&緊急連絡体制図)
    7 (3) 情報セキュリティ運営管理規程
    9 2 情報セキュリティ委員会録
    10 3 プロジェクト会議録
    11 4 稟議書
    12 5 外部委託における契約書,SLA
    16 (4) リスクマネジメント管理規程
    17 1 情報資産台帳
    18 2 重要資産持ち出し管理台帳
    25 (7) 事業継続管理規程
    27 2 バックアップ確認表
    28 3 復旧手順書
    30 (8) アクセス管理規程
    31 1 アカウント管理台帳
    32 2 アカウント申請書
    36 (9) 物理的・環境的管理規程
    37 1 入退室管理台帳
    38 2 来訪者入退室管理台帳
    39 3 作業報告書
    40 4 情報資産台帳廃棄管理台帳
    41 (10) 人的セキュリティ管理規程
    42 1 力量管理表
    44 3 教育・研修アンケート
    55 (14) セキュリティ事件・事故管理規程
    56 1 セキュリティ事件・事故報告書

    いかがでしょうか。
    上表からいくつか規程が登場しています。

    1. 情報セキュリティ運営管理規程
    2. リスクマネジメント管理規程
    3. 事業継続管理規程
    4. アクセス管理規程
    5. 物理的・環境的管理規程
    6. 人的セキュリティ管理規程

    情報セキュリティ対策を
    組織で運用するために、
    ルール整備が整ってきます。

    【ステップ3】顧客、ビジネスパートナーへのリスク回避必須となった。

    【ステップ2】でも十分かと思いますが、
    それなりにセキュリティレベルが上がったとはいえ、
    内外の環境状況をみて、

    情報セキュリティ対策運用部門の立ち上げ
    が必要と感じるでしょう。

    ルールができたとはいえ、形骸化するのは時間の問題でもあり、
    有効に機能させるための組織化が必要となります。

    表で追加部分を見てみましょう。

    番号 文書一覧
    1 (1) 情報セキュリティーポリシー
    3 1 適用範囲関連資料(1.組織図)
    4 2 適用範囲関連資料(2.周辺地図・ビル全体図・フロア図)
    5 3 適用範囲関連資料(3.ネットワーク図)
    6 4 適用範囲関連資料(4.ISMS推進体制図&緊急連絡体制図)
    7 (3) 情報セキュリティ運営管理規程
    8 1 年間情報セキュリティ目標
    9 2 情報セキュリティ委員会録
    10 3 プロジェクト会議録
    11 4 稟議書
    12 5 外部委託における契約書,SLA
    15 8 文書管理台帳
    16 (4) リスクマネジメント管理規程
    17 1 情報資産台帳
    18 2 重要資産持ち出し管理台帳
    20 (5) 適合性管理規程
    21 1 法規制管理台帳
    22 2 ライセンス管理台帳
    23 (6) システムの開発および保守管理規程
    24 1 ブロックリスト
    25 (7) 事業継続管理規程
    26 1 訓練記録
    27 2 バックアップ確認表
    28 3 復旧手順書
    29 4 事業継続計画テスト結果記録
    30 (8) アクセス管理規程
    31 1 アカウント管理台帳
    32 2 アカウント申請書
    33 3 誓約書
    34 4 リモートワーク許可申請書
    36 (9) 物理的・環境的管理規程
    37 1 入退室管理台帳
    38 2 来訪者入退室管理台帳
    39 3 作業報告書
    40 4 情報資産台帳廃棄管理台帳
    41 (10) 人的セキュリティ管理規程
    42 1 力量管理表
    44 3 教育・研修アンケート
    45 4 教育・研修受講記録管理台帳
    53 (13) 是正処置管理規程
    54 1 是正処置要求・報告書
    55 (14) セキュリティ事件・事故管理規程
    56 1 セキュリティ事件・事故報告書

    上表からわかるように、組織化によって、
    下の項目が追加されました。

    1. 情報セキュリティーポリシー
    2. 年間情報セキュリティ目標
    3. 適合性管理規程
    4. 法規制管理台帳
    5. ライセンス管理台帳
    6. システムの開発および保守管理規程
    7. 事業継続計画テスト結果記録
    8. 誓約書

    情報セキュリティ対策を
    組織で運用するために、
    ルール整備が整ってきます。

    【ステップ4】ISMS構築、ISO27001取得が必須となった。

    【ステップ3】レベルまで組織運用できていれば、

    ISO27001が取得できるし、取得したい

    となるでしょう。

    あとは、

    ISO27001に要求されるものを追加・整備すればよいとなります。

    具体的には、

    1. ISMSマニュアル
    2. マネジメントレビュー
    3. リスクアセスメント
    4. 情報セキュリティー供給者レビュー
    5. 内部監査
    6. 外部審査

    が追加されます。
    すでに、組織でISMS運用が機能されているので、
    追加対応はそれほど大変でもないでしょう。

    全ステップのまとめ

    【ステップ0】から【ステップ4】までの変化を図でまとめます。

    ISMSの構築手順がよくわかりますね

    本記事のやり方が絶対ではなく、
    組織によって、若干の味付けの違いはあるでしょう。

    ただ、いきなり、
    ISMS,ISO27001要求レベル
    へ組織をもっていくのは、
    無理なので、
    1つずつステップを刻む必要があります。

    まとめ

    以上、「【重要】組織がゼロからISMS(ISO27001)水準に引き上げる手順がわかる」を解説しました。

    • ①【リンク】ISMS,ISO27001 運用する組織に必要な規程が何かがわかる
    • ②ISMS化する前の組織の状態
    • ③ISMS化するステップを解説!
  • ISMSマニュアルの作り方(シンプルがベスト)がわかる

    ISMSマニュアルの作り方(シンプルがベスト)がわかる

    本記事のテーマ

    ISMSマニュアルの作り方(シンプルがベスト)

    ISOでは必須ではなくなったマネジメントマニュアルですが、
    割と提出が求められるものです。

    手間をかけないためにも
    シンプルであることが最も大事です。

    • ①マネジメントシステムのマニュアル
    • ②ISMSマニュアルの注意点
    • ③ISMSマニュアルをシンプルに作成することが重要

    ①マネジメントシステムのマニュアル

    品質にも、「品質マニュアル」があります。
    品質マニュアルの書き方や運用について
    ブログ記事を紹介します。

    品質マニュアル 【品質マニュアルがわかる】リンク
    書き方、運用のポイントをわかりやすく解説します!

    元々は最上位の重要文書だった

    マネジメントシステムのマニュアルは
    元々は最上位文書でした。

    ISO要求事項は、文書管理をベースとしていたのが背景です。

    現在のマニュアルはオプションの位置

    ISO9001 2015以降、マニュアルは
    ISOの最上位文書から、
    オプションの位置でよいと
    暗に伝えています。(明確には書いていませんけど)

    その理由は、

    文書管理から
    文書化した情報
    へ変わったからです。

    でも、マニュアル提出を要求される場合が割と多いから作成する

    じゃー、マニュアルは要らない!のか?
    というと、

    マニュアルを提出要求されるシーンが割とあります。

    例えば、

    1. 監査、審査にむけて、組織のマニュアルを提出要求される。
    2. 「品質マニュアル」の場合、「公共案件受注」の時に顧客から提出要求される。
    3. マニュアル整備しておくと、印象がよい。
    4. 自組織の規程類だけで定義しきれないものがある。

    なので、

    マニュアルはあった方がよいです。

    ただし、手間がかかるのでシンプルにしたいですよね。

    よくあるマニュアル構成

    いろいろな組織の監査や、
    マネジメントシステムの講習演習などで、
    マニュアルを見てきました。

    ほとんどのマニュアル構成は以下となっています。

    ISO要求事項文面を写し
    自組織の場合を追記する。
    品質マニュアルの場合だと40ページくらいになる
    手間がかかるがそれなりに仕事している感じになる。

    ②ISMSマニュアルの注意点

    注意点は、

    ISO27001 要求事項・管理策をすべて書いた
    マニュアルにすると大変!

    ISO27001では、
    30超の要求事項+93管理策
    があります。

    この文面を写し、
    さらに、自組織の場合を追加すると、

    ISMSマニュアルが100ページ超となります。

    一回100ページ超のISMSマニュアルをみたことがありました。

    なぜ大変かというと、

    1. ページ数が多く手間。
    2. 各内容との整合を合わすのがもっと手間。
    3. マニュアル整備から承認まで手間。
    4. マニュアルと自組織の規程や運用との整合を合わせるのも手間。

    手間だらけです。

    ③ISMSマニュアルをシンプルに作成することが重要

    なので、

    マニュアルはシンプルに作ろう!

    です。

    では、どうすればシンプルに作成できるかを解説します!

    1. ISO要求事項は自組織の規程類に落とし込む。
    2. ISMSマニュアルは規程類などでもどうしても書けない情報と、ISMSの構築構成のみ書けばよい。
    3. 提出要求される場合、ISMSマニュアルと自組織の規程類をセットで提出すればよい。

    どうでしょうか?

    これなら、シンプルに書けそうですね。

    マニュアルの設計図

    過去に作ったマニュアルを
    急に全く異なる構成なマニュアルに
    になる点は慎重にすべきですが、
    マニュアルの設計図を提唱します。

    マニュアルの中に、必要なもの

    マニュアルの中に、必要なものは、

    1. 適用範囲
    2. 適用事業
    3. 引用するISO27001
    4. 自組織の用語定義
    5. 自組織の組織体制
    6. 規程類一覧、
      規程類とISO27001要求事項+管理策との関係

    マニュアルの外にしたいもの

      ISO27001要求事項+管理策の記述・写し

    としたいです。

    こうすれば、ISMSマニュアルが20ページ以内に収まり、
    規程類の更新の時だけ、個々のISO27001要求事項+管理策との関係
    をチェックすれば効率的な運用ができるからです。

    ISMSは大事ですが、煩雑になりやすく
    煩雑になると情報セキュリティインシデントの際
    身動きがとれなくなります。

    そうならないように、シンプルな構成がベストです。

    ISMSマニュアルの作り方(シンプルがベスト)

    ISOでは必須ではなくなったマネジメントマニュアルですが、
    割と提出が求められるものです。

    手間をかけないためにも
    シンプルであることが最も大事です。

    まとめ

    以上、「ISMSマニュアルの作り方(シンプルがベスト)」を解説しました。

    • ①マネジメントシステムのマニュアル
    • ②ISMSマニュアルの注意点
    • ③ISMSマニュアルをシンプルに作成することが重要
  • 疑心暗鬼に陥りがちな「情報セキュリティインシデント」(冷静になれ!)

    疑心暗鬼に陥りがちな「情報セキュリティインシデント」(冷静になれ!)

    本記事のテーマ

    疑心暗鬼に陥りがちな「情報セキュリティインシデント」(冷静になれ!)

    インシデント発生は「恐怖・不安」ですが、
    本当ですか?

    煩雑な運用である、情報セキュリティだけに、
    冷静であることが最も大事です。

    • ①情報セキュリティインシデント事例
    • ②ありがちな恐怖
    • ③その恐怖は本当なの?
    • ④恐怖・不安を仰ぐ理由
    • ⑤情報セキュリティインシデントの真因を隠す傾向が強い
    • ⑥サイバー攻撃する方も実は大変苦労している
    • ⑦情報セキュリティインシデント対策でやるべきこと

    ①情報セキュリティインシデント事例

    いくつか事例を挙げます。

    1. 大病院がサイバー攻撃を受け、医療機能が数カ月麻痺。
    2. 大企業がサイバー攻撃を受け、受発注が麻痺。
    3. サイバー攻撃が年々増加。国内では1日数百万回(前年度1.5倍)を記録

    どうでしょうか?

    ヤバいよ! ヤバいよ! ヤバいよ!
    とスイカのヘルメットをかぶったバイクのおじさんが来そうです(笑)。

    ②ありがちな恐怖

    「情報セキュリティインシデント」と聞くと、どうでしょうか?

    1. 情報セキュリティを徹底しているが、いつ外部攻撃されるかわからない恐怖。
    2. 情報セキュリティ防御力を超える外部攻撃があるかもしれない恐怖。
    3. インシデントが発生するととんでもない大変な対応に迫られる恐怖。

    が伝わってきます!

    ヤバいよ! ヤバいよ! ヤバいよ!
    とスイカのヘルメットをかぶったバイクのおじさんが来そうです(笑)。

    ③その恐怖は本当なの?

    恐怖にかられると、天邪鬼なQCプラネッツは
    「ホンマにそうなの?」
    「しっかり対策を取っていても攻撃でやれらるの?」
    「ぶっちゃけインシデント発生した真相はどうなの?」
    と疑ってしまいます。

    公になっている情報を鵜呑みせず、一旦冷静になりませんか?

    ④恐怖・不安を仰ぐ理由

    このテーマですが、あえて、考えましょう!

    情報セキュリティインシデントでは
    恐怖・不安を仰ぐのか?

    この意地悪な問いに対して、
    理由がなければ、
    情報セキュリティインシデントは本当に恐怖だと
    思います。

    天邪鬼なQCプラネッツはこの問をこう考えます。

    なぜ恐怖・不安をあおるのか?

    いくつか考えてみました。

    1. 気を付けてほしいから(これはわかる!)
    2. 不安ビジネスに乗せたい
      (「これくらい大丈夫!」と言う情報セキュリティ専門家がいない)
    3. 本当は、ヘボい理由で攻撃くらっただけなのに、
      大変さを演出して情報セキュリティの高さを誇張したい

    こういう情報ばかりだと、不安になるし、
    専門家にすがりたくなります。

    でも、それは相手の思う壺かもしれません。

    本当に知りたいこと

    本当に知りたいのは、

    その組織の情報セキュリティの高さ(防御力)
    に対して
    どの攻撃力でダメージを受けたのか

    です。

    我々がいつも想像するのは、下図のように、
    (1)普段からあるべき防御力があるが、
    (2)それを上回る攻撃を受けた。

    だから、情報セキュリティインシデントは怖い!
    であれば、仕方がないし、納得できます。

    しかし、実体はどうでしょうか?

    我々がいつも想像するのは、下図のように、
    (3)普段からあるべき防御力があるが、
    適正な運用がなく、本来の防御力が機能していない。
    または、実は防御力そのものが低かった。

    だから
    他社なら回避できる程度の攻撃でもインシデントになってしまった。

    可能性もあるでしょう。

    しかし、
    実体(本来の実力)を知らない(公表されない)から
    名のある企業なら
    「情報セキュリティ体制は万全なのにどうして?」
    と過大評価することも考えられる。

    実情を冷静かつ客観的に見る必要があります。
    そのために、「報告書」が公表されています。

    しかし、

    「報告書」にインシデントの真因は書かれていない場合がほとんど

    これは、なぜでしょうか?

    ⑤情報セキュリティインシデントの真因を隠す傾向が強い

    会計、品質、環境、情報セキュリティなどの管理すべきものは、
    不正や法令違反がある場合、組織・企業は真因究明と再発防止を
    コミットするために報告書を公表しています。

    品質不正は必ず真因を報告書に載せる

    品質不正事例は、QCプラネッツのブログ記事でまとめています。

    【まとめ】品質不正がよくわかる

    どの報告書も、真因は明快に書かれています。
    だから、さらに深部へ分析ができる。

    どの報告書も、真因は明快に書かれています。

    情報セキュリティインシデント報告書は真因を明示しない

    一方、情報セキュリティインシデントは
    報告書に真因を明示しない、
    公表しない場合が
    多いです。

    それには理由があるからです。

    理由

    情報セキュリティインシデントは犯罪行為。
    犯罪の手口を明示すると再犯されるリスクがある。

    確かに、納得がいく理由です。

    しかし、1つ注意が必要で、

    対象となった組織・企業の情報セキュリティの防御力が低い弱点をさらさなくて済む。

    本来、組織が改善すべきポイントが露わにならないため、
    改善したと後日公表しても、本当かどうかは疑わしいかもしれません。

    品質でもそうですが、
    組織改革にはエネルギーと時間がすごくかかります。
    その間に、再攻撃受けるリスクが残っています。

    情報セキュリティインシデント真因をあるある

    とはいえ、
    数件ですが、
    真因を明示している事例もあります。
    (本当にありがたいです!)

    その事例を紹介します。

    真因

    1. 名のある大企業だが、情報セキュリティ専門者が0.5人(他業務と兼任)。
    2. 大病院だが、管理者パスワードが初期設定のままだった。
    3. 業務中に、NGなサイトをクリック・ダウンロードしてしまった。
    4. インシデント対策訓練

    確かに、
    ・報告書では体制強化、モラル・意識向上など
    難しく、それらしい言葉が並ぶが、
    上の理由を見れば、
    「そりゃ、ダメでしょう!」
    と言いたくなるものが意外と多いです。

    少ない情報の中、
    名のある企業・組織だからと
    過大評価せず、
    何が真因なのかをよく考え、調べる必要があります。

    ⑥サイバー攻撃する方も実は大変苦労している

    サイバー攻撃は確かに怖いけど。。。

    1日、数百万件のサイバー攻撃を我々は受けています。
    確かに、怖い!
    でも、ここでも冷静に考えてみましょう。

    攻撃力が上がれば、相手の防御力も上がる

    20年前は、確かに世界的なサイバー事件がニュースになり、
    知り合いがその対象になったことを思い出します。

    しかし、

    攻撃力や攻撃種類が上がると、
    すぐに対策が講じられ、
    それほど深刻ではないと
    いう冷静な目線も必要です。

    攻撃は犯罪行為であり、逮捕されるリスクがあります。
    一方、防御は良い行為であり、評価されるメリットがあります。

    あなたが優秀なハッカーなら
    攻撃?
    防御?
    どちらで飯を食いますか?

    明らかに、後者ですよね。

    多数の攻撃のイメージ

    など、考えると、

    攻撃力や攻撃種類が上がると、
    すぐに対策が講じられ、
    それほど深刻ではないと
    いう冷静な目線も必要です。

    ハッキングのイメージ

    ハッキング攻撃のイメージは
    下図のように、
    組織のセキュリティの壁を叩きまくって
    力で壁を壊し内部に侵入する

    とよく思われているはずです。

    しかし、実際は、防御力も高く、外部から力で侵入するのは難しいです。

    実際は、下図のように、
    道にとりあえず、ハッキングする種をばらまき
    そこに引っかかる獲物を捕まえる

    方が現実的ではないでしょうか。

    汚い例ですが、
    道に放置された動物の糞を避けれるのに、
    うっかり踏んでしまった
    のが情報セキュリティインシデント
    というイメージがわかりやすいでしょう。

    ⑦情報セキュリティインシデント対策でやるべきこと

    情報セキュリティインシデントはリスクであることは間違いありません。
    しかし、見えない恐怖に疑心暗鬼にならずに、冷静に考えて対応しましょう!

    では、どのような対策をすればよいでしょうか?

    情報セキュリティインシデント対策

    大事なのは、

    ●たくさん対策をとるな!(逆効果)
    ●レベルの高いことをやるな!(組織全員では無理)
    ●外部攻撃より、身近なミス・不正防止を徹底(その方が確実)

    でしょう。

    難しく、たくさん対策して万全と言えば、
    かっこいいと思いがちですが、それは無理で、逆効果です。

    ●個人レベルでは簡単な対策でいい。
    ●簡単なアクションを組織全体で回すことに一番注力すべきです。

    当たり前のことを、皆でやる!
    がISMSであり、
    ISO27001です。

    まとめ

    以上、「疑心暗鬼に陥りがちな「情報セキュリティインシデント」(冷静になれ!)」を解説しました。

    • ①情報セキュリティインシデント事例
    • ②ありがちな恐怖
    • ③その恐怖は本当なの?
    • ④恐怖・不安を仰ぐ理由
    • ⑤情報セキュリティインシデントの真因を隠す傾向が強い
    • ⑥サイバー攻撃する方も実は大変苦労している
    • ⑦情報セキュリティインシデント対策でやるべきこと
  • 情報セキュリティインシデントに対する組織の本音がわかる

    情報セキュリティインシデントに対する組織の本音がわかる

    本記事のテーマ

    情報セキュリティインシデントに対する組織の本音がわかる

    インシデントへの対策は必須ですが、
    本音はどうですか?

    • ① インシデントに対する組織の対応
    • ② インシデントへの組織の本音
    • ③ 痛い目に合わないと本気で組織は動かない

    ① インシデントに対する組織の対応

    品質、環境、情報セキュリティなどあらゆる分野で
    事故(アクシデント)への対策は必須です。

    ●品質:事故、品質不正
    ●環境:事故、法令違反
    そして、
    ●情報セキュリティ:情報セキュリティインシデント
    ・・・
    があります。

    未然防止、再発防止の観点から
    組織への要求事項があります。

    ISO27001からの要求事項

    一覧にします。

    やるべきこと一覧

    1. 6.1.3 情報セキュリティリスク対応
    2. 8.3 情報セキュリティリスク対応
    3. A5.24 情報セキュリティインシデント管理の計画策定及び準備
    4. A5.25 情報セキュリティ事象の評価及び決定
    5. A5.26 情報セキュリティインシデントへの対応
    6. A5.27 情報セキュリティインシデントからの学習
    7. A5.28 証拠の収集
    8. A5.29 事業の中断・阻害時の情報セキュリティ
    9. A5.30 事業継続のためのICTの備え
    10. A5.31 法令、規制及び契約上の要求事項
    11. A6.8 情報セキュリティ事象の報告

    要求事項がたくさんあります。

    インシデントに対する組織体制の在り方

    組織が取るべき体制は主に

    1. 組織体制と権限の範囲
    2. 組織内規程の構築
    3. インシデント対応動き方
    4. インシデント対策訓練

    の3つがありますね。

    組織体制と権限の範囲

    表にまとめます。

    役割
    ①経営層
    (意思決定)    		 ・重大判断
    ・資源投入
    ・外部公表
    ②インシデント統括
    (CSIRT)    		 ・全体指揮
    ・判断
    ・指示
    ・外部連携
    ③実務対応チーム
    (事務局)    		 ・技術対応
    ・封じ込め
    ・復旧
    ・記録
    ・報告書
    ・再発防止

    それぞれが役割と権限をもって、
    インシデント対応できるように体制を組みます。

    組織内規程の構築

    有事の際の行動と、
    それを備える平時の行動を
    冷静に対応するために、
    規程(ルール)を作っておく必要があります。

    インシデント対応動き方

    主に3つあり、

    レベル 深刻度 最高責任者
    1 情報セキュリティ管理者
    2 情報セキュリティ管理者or経営層
    3 経営層

    インシデントの深刻さによって
    組織内の動き方が変わります。

    1. 情報セキュリティインシデントの想定(どんな事故が起こりうるか)
    2. インシデントの深刻度によって、報告指示体制を決めておくこと
    3. インシデントの処置、完了、最終報告の指示
    4. 再発防止、事業継続管理へのアップデート

    インシデント対策訓練

    組織にとって、
    事業継続危機に瀕するもの
    から
    一部の社員の不手際で軽微だが、頻発するもの
    などの想定しうるものを対象に
    日頃から訓練します。

    ② インシデントへの組織の本音

    よくある本音ですが

    消極的なのが本音

    インシデントに対応する組織の行動は当然ですが、

    ●手間もコストもかかるので、
    なるべくやりたくたいのが本音
    ●どうせ、インシデントなんてあんまり来ないでしょう!と思いたい
    ●経営層や中間管理職は情報セキュリティの意識が低いし。。。
    ●コストかけた分だけのリターンは無いし。。。

    など、本音は、消極的なはずです。

    ISMS活動の動機づけが難しい

    情報セキュリティが大事な近年ですが、
    現実味がないだけに、いまいちピンと来ない
    こんな煩雑で手間なことわざわざしなくても大丈夫だよ!
    まあ、指示されたことだけやっていればいい。通常業務が忙しいからISMSどころではないよ!

    が本音であり、

    動機づけが難しいのも現実です。

    ③ 痛い目に合わないと本気で組織は動かない

    いい話ではありませんが、

    痛い目に合わないと本気で組織は動かないし、
    あえてそうさせるのも手かもしれません。

    インシデントが発生すると

    組織内の混乱の中、次のことがよく見えるでしょう。

    1. 誰が他責、自責の念を持つのか?
    2. 本当に経営層は全面に立って責任を取るのか?
    3. 管理職やISMS事務局は本気で対応するのか?
    4. 自分の業務に支障が出るまで、誰も動かないではないのか?
    5. インシデントが発生してどれくらいダメージを受けたら組織は本気になるのか?
    6. 日頃の情報セキュリティへの意識や行動の大切さを身に染みるかどうか?

    何でもそうですが、痛い目に合わないと、
    平常のありがたみがわからないものです。

    勉強、品質、環境、情報セキュリティ、防災、法令遵守などは
    大事なのはわかるけど、日ごろは後回しにしたい面倒なもの
    ですよね。

    一番言いたいこと

    1つ注意なのは、

    痛い目に合いましょう!ではありません!!
    そうなってはいけませんが、
    平時から組織への意識向上・動機づけは
    非常に難しいので、
    くじけず、組織内に働きかける粘り強さが重要

    と言いたいのです!

    平時から粘り強く動機づけしよう!

    勉強、品質、環境、情報セキュリティ、防災、法令遵守などの管理するものは
    大切さを粘り強く伝え、行動につなげること
    です。

    あまり評価されませんが、
    土台を支える事務局担当者が
    周囲への動機づけ、行動につなげるか
    がキーポイントです。

    事務局担当の頑張りにかかるので、この頑張りへの評価も組織でしてあげてください。

    1. 煩雑なISMSをわかりやすく伝えること
    2. NG行動とそれによる代償を何度も伝えること
    3. 不審な動きをする従業員への上手な注意喚起
    4. 情報セキュリティなどの管理活動の面白さを上手に伝えること

    などの粘り強い活動が、
    インシデントへの耐性強化につながり、
    インシデント発生しても組織内での協力関係が出やすく    なります。

    このあたりの活動は、
    結果として見えにくく、評価されにくい所ですが、
    縁の下の力持ちな人を作ることが
    組織で最も大事なことと考えます。

    まとめ

    以上、「情報セキュリティインシデントに対する組織の本音がわかる」を解説しました。

    • ① インシデントに対する組織の対応
    • ② インシデントへの組織の本音
    • ③ 痛い目に合わないと本気で組織は動かない
  • 【必読】ISMSの年間スケジュールがわかる(結構大変)

    【必読】ISMSの年間スケジュールがわかる(結構大変)

    本記事のテーマ

    ISMSの年間スケジュールがわかる(結構大変)

    CIAのリスクアセスメントの点数付けを細かくして運用するより、
    リスクを本当に除去・回避する活動に集中しませんか?

    • ① ISMS運営に必要なアクション
    • ② QMSとISMS 年間計画を比較
    • ③ ISMSの年間スケジュールを立てると大変だとわかる
    • ④ 効率よくISMSを運営するコツ

    ① ISMS運営に必要なアクション

    ISMSを組織で運用するために、
    規程や帳票の作成に加えて
    実際にイベントを起こして行動する必要があります。

    アクションを列挙

    ISO27001 2022の要求事項と
    管理策を照らし合わせて
    運用に必要なアクションを挙げてましょう。

    運用に必要なアクション

    ISO27001 2022
    要求事項および管理策    		 ISMS年間計画
    5.1 リーダシップ
    5.3 責任と権限
    A5.1 情報セキュリティのための方針群
    A5.2 情報セキュリティの役割及び責任
    A5.3 職務の分離
    A5.4 管理層の責任    		 今年度ISMS責任者決定
    5.2 方針 今年度ISMSポリシーの改訂
    5.2 方針 今年度ISMSマニュアルの改訂
    6.2 情報セキュリティ目的及びそれを達成するための計画策定 年間セキュリティ目標 
    ・前年度の年度末評価、承認 反省点
    ・今年度の内容協議・承認  四半期フォロー
    7.2 力量
    A6.3 情報セキュリティの意識向上及び訓練     		教育年間計画 承認
    9.2 内部監査 内部監査(計画、実施、処置)
    6.1.2 情報セキュリティリスクアセスメント
    6.1.3 情報セキュリティリスク対応
    8.2 情報セキュリティリスクアセスメント
    8.3 情報セキュリティリスク対応    		 リスクアセスメント (計画 実施) 
    9.1 監視、測定、分析及び評価 外部審査(計画、実施、処置)
    7.5 文書化した情報 規程類見直し (計画 実施)
    7.1 資源 設備投資 稟議書
    A5.25 情報セキュリティ事象の評価及び決定
    A5.26 情報セキュリティインシデントへの対応
    A5.27 情報セキュリティインシデントからの学習
    A5.28 証拠の収集
    A5.29 事業の中断・阻害時の情報セキュリティ
    A5.30 事業継続のためのICTの備え    		 事業継続テスト(BCP) 10月
    A5.22 供給者のサービス提供の監視、レビュー及び変更管理
    A5.24 情報セキュリティインシデント管理の計画策定及び準備    		 ペネトレーションテスト毎Q 内容、計画 実施
    A8.13 情報のバックアップ バックアップ 復元テスト年2回
    9.3 マネジメントレビュー マネジメントレビュー
    A7.13 装置の保守 毎月点検、毎週点検事項
    10.2 不適合及び是正処置 インシデント報告 ヒヤリハット報告 是正処置
    A5.19 供給者関係における情報セキュリティ
    A5.20 供給者との合意における情報セキュリティの取扱い
    A5.21 情報通信技術(ICT)サプライチェーンにおける情報セキュリティの管理
    A5.22 供給者のサービス提供の監視、レビュー及び変更管理
    A8.29 開発及び受入れにおけるセキュリティテスト
    A8.30 外部委託による開発    		 情報セキュリティー供給者レビューチェック

    いかがでしょうか? 
    要求事項および管理策を満たすべく、年間計画を立てていきます。

    アクションの作り方

    先ほど、年間計画表は
    一気に作れるものではありません。

    何度も往復しながら、精度を高めていきます。
    QCプラネッツも実際に組織に必要なISMSをすべて構築した上で
    上表の年間計画を列挙しています。

    (1) マネジメントシステムをベースに年間計画を立てる

    マネジメントシステムの経験があれば、

    1. 方針
    2. マニュアル
    3. 目標
    4. 責任と権限
    5. 力量
    6. 文書化した情報
    7. 内部監査、外部審査
    8. マネジメントレビュー
    9. 不適合と是正処置
    10. 継続的改善

    はスラスラ出てくるでしょう。
    ここが苦戦する場合は、
    QMS,EMSなど
    他のマネジメントシステムの要求事項
    を見てみましょう。

    (2) 要求事項をさらに確認して年間計画に追加する

    ISMSの場合は、
    「ISO27001 2022 93個の管理策」
    があるので、
    各管理策から年間計画に求められるものを選びます。

    先ほどの表の例では、
    ●事業継続テスト(BCP)
    ●ペネトレーションテスト毎Q 内容、計画 実施
    ●バックアップ 復元テスト年2回
    ●毎月点検、毎週点検事項
    ●情報セキュリティー供給者レビューチェック
    を追加しました。

    もちろん
    ISOの要求事項ではなく、組織内から
    必要とするアクションを計画してもよいでしょう。
    例えば
    ●避難訓練
    が1つ浮かびました。

    ②QMSとISMS 年間計画を比較

    ISMSの運営管理は結構大変です。

    QMSとISMSにおける年間計画を比較します。

    QMS 年間計画 ISMS 年間計画
    今年度品質方針の改訂 今年度ISMSポリシーの改訂
    今年度品質マニュアルの改訂 今年度ISMSマニュアルの改訂
    年間品質目標
     
    -前年度の年度末評価、承認 反省点
    -今年度の内容協議・承認  四半期フォロー    		 年間セキュリティ目標
     
    -前年度の年度末評価、承認 反省点
    -今年度の内容協議・承認  四半期フォロー
    教育年間計画 承認 教育年間計画 承認
    内部監査(計画、実施、処置) 内部監査(計画、実施、処置)
    ー(業務なし) リスクアセスメント (計画 実施) 
    外部審査(計画、実施、処置) 外部審査(計画、実施、処置)
    規程類見直し (計画 実施) 規程類見直し (計画 実施)
    ー(業務なし) 設備投資 稟議書
    ー(業務なし) 事業継続テスト(BCP) 10月
    ー(業務なし) ペネトレーションテスト毎Q 内容、計画 実施
    ー(業務なし) バックアップ 復元テスト年2回
    マネジメントレビュー マネジメントレビュー
    品質会議 毎月点検、毎週点検事項
    品質トラブル報告、是正処置 インシデント報告 ヒヤリハット報告 是正処置
    取引先監査(計画、実施、処置) 情報セキュリティー供給者レビューチェック
    取引先監査(計画、実施、処置) 情報セキュリティー供給者レビューチェック

    いかがでしょうか?

    QMSもISMSも
    似たような年間行事がある    ことがわかります。
    ただし、
    ISMSの方が業務は多いと分かりますね!

    特に、

    情報リスクアセスメント
    事業継続テスト
    などは
    多くの要素と紐づいたり
    組織の多くの人を巻き込むため、
    業務負荷が重いです。

    ISMSの運用は大変と
    QMSと比較するとよくわかります!

    ③ISMSの年間スケジュールを立てると大変だとわかる

    では、実際の年間スケジュールの立て方を考えてみましょう。

    項目が多いため、
    ある期間に集中しないよう
    上手に分散して運用する必要があります。

    また、

    インシデントなどの
    深刻な事故は急に襲ってきます。
    余裕のある年間計画を立てることが大事です。

    年間計画表のたたき台で考えよう

    ISMSの年間計画表を作ってみました。

    実際に作っていくと、次の問題点がわかります。

    1. 黄色枠の行事は、どの月に実施するかは決まっている。
      青色枠の行事は、いつ発生するかわからないし、発生しないかもしれない。
      赤色枠の行事がいつ実施するかを決める必要がある。
    2. 4月はすべての行事の計画で一番忙しい。
      その次に忙しいのはまとめの3月。
      それ以外の月は閑散期
      閑散期に赤色枠の各行事を上手にいれたい。

    とわかります。

    なお、

    黄色枠の行事

    1. 今年度ISMS責任者決定(4月)
    2. 今年度ISMSポリシーの改訂(4月)
    3. 今年度ISMSマニュアルの改訂(4月)
    4. リスクアセスメント (計画 実施)(4月、まとめ3月)
    5. マネジメントレビュー(2月準備、3月)
    6. 毎月点検、毎週点検事項(毎月)

    赤色枠の行事

    1. 教育年間計画 承認
    2. 内部監査(計画、実施、処置)
    3. 外部審査(計画、実施、処置)
    4. 規程類見直し (計画 実施)
    5. 設備投資 稟議書
    6. 事業継続テスト(BCP)
    7. ペネトレーションテスト毎Q 内容、計画 実施
    8. バックアップ 復元テスト年2回
    9. 情報セキュリティー供給者レビューチェック

    青色枠の行事

    1. インシデント報告 ヒヤリハット報告 是正処置

    年間計画表を完成させよう

    上の制約条件をもとに、
    年間計画表を完成させました。

    閑散期に毎月3タスクとして、業務量をうまく分散することができました。

    実際は、
    顧客、ビジネスパートナー、社内関係者
    との調整や、
    天変地異やインシデント
    の影響もうけながらの
    運営となります。

    なので、

    ISMSの運営は大変な業務とわかります。

    ④ 効率よくISMSを運営するコツ

    QMSより、ボリュームの多いISMSをどう効率よく運営すればよいかを解説します。

    1. 組織がISMSに慣れるまではむしろ手間をかける
    2. 完璧は目指さない
    3. 手段の目的化だけは回避する

    1つずつ解説します。

    組織がISMSに慣れるまではむしろ手間をかける

    ISMSは売上増加する要素がなく、コスト面しかありません。
    なので、リソースをかけたくないのが本音です。

    しかし、ISMS運営に慣れる数年間は
    しんどくても手間をおしまず、1つ1つマスターしていくことが求められます。

    組織内のナレッジ、力量向上を初期の段階で高めておくと、
    後が楽になるでしょう。

    完璧は目指さない

    たとえ、運用、規程、文書が完璧でも、

    いつインシデントが来るかわかりません。

    合格点を設けて、その中で組織に必要なことをしっかり構築していくことが大事です。

    手段の目的化だけは回避する

    煩雑な仕組みは、必ず、

    手段が目的化します。

    特に、

    リスクアセスメント
    ISO27001 管理策
    を細かく手を出すと
    目的を見失います。

    情報セキュリティははっきり言って。

    ●PCセキュリティパッチの最新化
    ●ウィルススキャンの最新化
    ●変なメール、サイトにアクセスしない。
    ●外部にうっかり漏洩しない

    という、基本のキをやれば、
    大丈夫です。

    ランサムウェアなどの
    国際ハッカー集団の犯行とか
    怖いこというけど、
    まず、やることをちゃんとやろう!

    身の回りでできることをやればよいのです。

    何となく、難しそうと
    踊らされがちな情報セキュリティですが、
    冷静に目的を達成するための組織運営を目指しましょう。

    ISMSはツールであり、手段です。

    あなたの組織で、何を目指すのか?が最も大事な問です。

    まとめ

    以上、「ISMSの年間スケジュールがわかる(結構大変)」を解説しました。

    • ① ISMS運営に必要なアクション
    • ② QMSとISMS 年間計画を比較
    • ③ ISMSの年間スケジュールを立てると大変だとわかる
    • ④ 効率よくISMSを運営するコツ
  • 【提言】CIAリスクアセスメントの評価は2段階がよい

    【提言】CIAリスクアセスメントの評価は2段階がよい

    本記事のテーマ

    【提言】CIAリスクアセスメントの評価は2段階がよい

    CIAのリスクアセスメントの点数付けを細かくして運用するより、
    リスクを本当に除去・回避する活動に集中しませんか?

    • ① CIAとは
    • ② CIAの細かい点数付けの良さと課題点
    • ③ 【提言】CIAリスクアセスメントの評価は2段階がよい

    ① CIAとは

    CIAは情報セキュリティで最も大事な概念で、最初に覚える用語ですよね!

    CIAとは

    1. C(Confidentiality)=機密性
      情報が漏れたらどれだけ影響があるか
    2. I(Integrity)=完全性
      改ざんされたらどれだけ影響があるか
    3. A(Availability)=可用性
      利用できなくなったらどれだけ影響があるか

    情報セキュリティの【基本のキ】ですね。

    CIAの影響度合いを点数付け

    CIAが重要な理由は

    1. リスクアセスメントの項目
    2. 情報セキュリティ計画や目標
    3. 内部監査、外部審査での評価対象
    4. マネジメントレビューでのフォロー対象
    5. 事業継続計画を考える上での重要な変数
    6. 情報資産台帳での個々の資産のCIA評価に必須

    など、CIAが出てくる場面がたくさんあります。

    ② CIAの細かい点数付けの良さと課題点

    あなたの組織でのCIA評価はどうなっていますか?

    3段階、5段階評価が一般的

    おそらく、3段階または5段階が一般的です。

    5段階の場合

    影響度 内容
    1 影響ほぼなし
    2 小さい影響
    3 中程度の影響
    4 大きな影響
    5 重大な影響
    (業務停止レベル)

    3段階の場合

    影響度 内容
    1 影響ほぼなし
    2 中程度の影響
    3 重大な影響
    (業務停止レベル)

    よくあるパターンですよね!

    リスク値の評価方法

    説明できる理由でれば、
    どの計算式でリスク値を求めてもOK

    よくあるのが、

    リスク値= C × I × A
    ●5段階の場合は リスク値の値域:1~125(=\(5^3\))
    ●3段階の場合は リスク値の値域:1~275(=\(3^3\))

    となります。

    リスクのしきい値でリスク評価

    計算したリスク値から
    しきい値を設定して
    リスクの高低を決めます。

    例えば5段階の場合

    ●リスク値が80以上なら「高」
    ●リスク値が20~79までなら「中」
    ●リスク値が19以下なら「低」
    とし
    「高」「中」についてリスク管理を実施していく。
    とよく考えますよね。

    3段階、5段階評価の良さ

    段階数がある程度あると、

    1. 細分され、柔軟な評価ができ、多くの人から賛同が得られやすい
    2. 事業特性に反映した評価ができる
    3. リスク分布が滑らかで、分析しやすい

    などが挙げられますが、

    一番のメリットは
    「安心感」ではないでしょうか。

    3段階、5段階評価の課題

    一方、課題や問題点もあります。

    1. 区分が多いと評価基準が複雑になる
    2. 評価・分析に手間・時間がかかる
    3. 点数の値の吟味や、項目の洗い出しなどで意見一致が大変

    などが挙げられますが、

    一番のデメリットは
    手間がかかりすぎて、手段が目的化しがちになる。

    CIAによるリスク評価の目的は、

    リスクを見つけて、それを除去すること

    あいまいにリスク高いものを、
    それなりのリスクに低減しても
    リスクが残っている以上、リスクであり、
    リスク対処したとは言えません。

    ③ 【提言】CIAリスクアセスメントの評価は2段階がよい

    本記事で、はっきり言います。

    2段階評価にしてはどうか?
    そしてリスク対応は「リスクを無くす」ことだけに集中するはどうか?

    ちょっと大胆であり、組織のメンバーやISMS審査官からクレームがあるかもしれません。

    2段階評価でもそれなりに手間

    2段階評価にして
    CIA リスク値=1~8で評価
    リスク対応は「リスクをなくす」施策とし、すべてとりかかる!

    として、実際組織のリスクアセスメントシートを作ってみました。

    5段階の1~125
    3段階の1~27に比べ はリスク値の値域は大幅に狭くなる!
    でも
    それなりに手間がかかるし、
    2段階くらいにしておかないと
    組織のISMSは機能していないのではないか?
    と思ってしまう。。。

    ISMSの運用ははっきり言って、「大変!」です。

    2段階評価で作ったリスクアセスメント表

    リスクアセスメント表の例を挙げてみます。

    上図の例では、

    1. C,I,Aはそれぞれ2段階で評価した
    2. リスク評価は「高」(4点以上)、「低」(4点未満)の2段階とした
    3. リスク対応は容易ではないが、リスク「高」⇒「低」に下がるまで行動を実施する
    4. 2段階でリスクアセスメントは楽にならず、手間がかかる
    5. 2段階は「有無」の決着がはっきりつくのでわかりやすい

    リスク評価値は
    ●1×1×1=1 (リスク低)
    ●1×1×2=2 (リスク低)
    ●1×2×2=4 (リスク高)
    ●2×2×2=8 (リスク高)
    5つしかないため、リスク評価も「高」「低」の2段階で十分となります。

    実際に作ってわかりました。

    2段階評価ではデメリットを突く意見もある

    2段階は「シンプル」で「はっきり」する良さもありますが、
    ●中程度のリスク評価が欲しい!
    ●監査で雑な区分と指摘される!
    ●段階的な改善が見れるにしてほしい!
    などの反論も受けやすいです。

    リスク評価と行動を経験した上で、評価段階数を決めよう

    CIAの評価数の決め方に賛否両論がありますが、決める道しるべは、

    ●どこかの組織がやっているからそれを真似る
    ではなく
    ●実際にリスク評価とリスク行動と除去した経験を得た上で、
    あなたの組織に合う評価数を決めてください。

    今回は、「2段階」の良さを提言しました。

    まとめ

    以上、「【提言】CIAリスクアセスメントの評価は2段階がよい」を解説しました。

    • ① CIAとは
    • ② CIAの細かい点数付けの良さと課題点
    • ③ 【提言】CIAリスクアセスメントの評価は2段階がよい
  • 【ISO27001 2022 6.1】 ISMS 計画がわかる

    【ISO27001 2022 6.1】 ISMS 計画がわかる

    本記事のテーマ

    ISMS 計画がわかる

    ISMS 計画(情報セキュリティ計画)の重要なポイントをわかりやすく解説します。

    • ① 方針(ポリシー)とリスクアセスメントとの関係をおさえる
    • ② ISMS 計画がわかる
    • ③ ISMS 計画の年間活用方法

    ① 方針(ポリシー)とリスクアセスメントとの関係をおさえる

    ISMSには、似たような文書があります。
    相互の関係性、整合性をおさえることが重要です。

    1. 情報セキュリティ方針(ポリシー)
    2. 情報セキュリティリスクアセスメント
    3. ISMS 計画(情報セキュリティ計画)

    互いに整合させると全体感が見えない

    活用方法が異なりますが、違うものとして扱うと、

    ・情報セキュリティ方針(ポリシー)と
    ・情報セキュリティリスクアセスメントと
    ・ISMS 計画(情報セキュリティ計画)
    は何が違うのか?
    互いに整合性をおさえたいが
    どう同じでどう違って、どう扱えばいい?

    と混乱します。

    つまり、

    ・情報セキュリティ方針(ポリシー)と
    ・ISMS 計画(情報セキュリティ計画)
    は整合性が合うように計画書を作る!

    そして、

    ・要求事項6.1.1 ISMS 計画(情報セキュリティ計画)と
    ・要求事項 6.1.2 情報セキュリティリスクアセスメントも
    は整合性が合うように計画書を作る!

    となりますよね。

    すると、

    ・情報セキュリティ方針(ポリシー)と
    ・要求事項 6.1.2 情報セキュリティリスクアセスメントも
    は整合性が合いそうだけど、
    互いにどんな関係?

    となりますよね。ここって、
    あまり解説されていないので迷ってしまいます。

    ここで、注意したいのは、

    ①情報セキュリティ方針(ポリシー)とISMS 計画
    ②情報セキュリティリスクアセスメントとISMS 計画
    それぞれ対応を考えていると二度手間で煩雑&難解になります。

    全体感で考える

    なので、

    ・情報セキュリティ方針(ポリシー)と
    ・情報セキュリティリスクアセスメントと
    ・ISMS 計画(情報セキュリティ計画)
    1セットで考える

    すると、先の疑問が湧きますので、
    3つの関係性を解説します。

    まず、

    ・情報セキュリティ方針(ポリシー)と
    ・情報セキュリティリスクアセスメントと
    ・ISMS 計画(情報セキュリティ計画)
    どれもリスク対策であること

    この共通点は当たり前ですね。

    あえてそれぞれのテーマ、文書としてあるので、何がちがうのでしょうか?

    それは

    情報セキュリティ方針(ポリシー)は
    【対外】、【対内】の両方の内容がある。

    方針の例として、

    1. 社外に対する宣言がある【対外】
    2. 社内で実施する宣言がある(対内)

    がありますね。
    確かに、【対外】、【対内】の両方があります。

    一方、

    情報セキュリティリスクアセスメントは
    【対内】の内容のみである。

    内外の影響から自分たちにとってどんなリスクがあるかを洗い出す性質があるので、
    【対内】のみとなります。

    以上から、下の関係図でまとめることができます。

    この図から、関係性がよくわかりますね。

    ② ISMS 計画がわかる

    具体的に、計画表を作ってみましょう。

    計画へのインプット情報

    「① 方針(ポリシー)とリスクアセスメントとの関係をおさえる」
    で述べた通り、

    情報セキュリティ方針(ポリシー)と
    情報セキュリティリスクアセスメント
    のリスク情報がインプットとなります。

    これは確かにそうですが、

    実際は、
    情報セキュリティ方針(ポリシー)と
    情報セキュリティリスクアセスメント
    情報セキュリティ計画
    作成を同時に進めながら、インプット情報の精度を高めていきます。

    ISO9001 品質目標のように考えてもよい

    ISMSを取り掛かる人の中で、
    QMS(品質マネジメントシステム)、ISO9001も
    取り掛かる人もいるでしょう。

    QCプラネッツもそうです。

    品質方針(ポリシー)⇔情報セキュリティ方針(ポリシー)
    品質目標⇔情報セキュリティ計画
    QMSリスクアセスメント⇔情報セキュリティリスクアセスメント
    対応して考えるとわかりやすいです。

    同じ組織、会社でマネジメントシステムを回すならなおさらだと思います。

    計画の例(アウトプット)

    例を出します。

    計画事例を挙げました。
    次に活用のポイントを解説します。

    ③ ISMS計画の年間活用方法

    まず、一番大事なことは

    計画の目的をおさえること

    情報セキュリティ計画を管理する上で、
    管理が目的化するのではなく、
    あなたの組織に襲うリスクがないこと
    である点を忘れずに運営しましょう。

    計画から運営するポイント

    QMS、ISO9001 品質目標と似ていますが、以下のポイントで運営します。

    1. 方針、目標、リスクアセスメントの項目と
      計画の活動施策の内容は整合させること
    2. 項目の中に【対外】【対内】を色分けし、方針、リスクアセスメントと計画との関係性を確認すること
    3. 各活動施策の評価・メトリックは数値化できるものとする
    4. 結果から有効性評価を行い、次年度の計画やマネジメントレビュー報告につなげること

    その他、【社外秘】(文書のセキュリティレベル)や
    変更履歴
    承認回付
    もあります。

    計画の事例を挙げました。
    ISMSはルールが煩雑で
    書類が多くなる傾向があり、
    それぞれの要素感の整合性を合わせる必要がある
    など、運営を難しくなる傾向が強いです。

    だからこそ、ISMSの各要素の整合性を確実にし、
    統合できるところは統合し、簡素化する工夫が重要です。

    計画も簡素化し、計画から実行・評価につなげ、
    ISMSリスクをあなたの組織から排除できることが一番大事です。

    まとめ

    以上、「ISMS 計画がわかる」を解説しました。

    • ① 方針(ポリシー)とリスクアセスメントとの関係をおさえる
    • ② ISMS 計画がわかる
    • ③ ISMS 計画の年間活用方法
  • ISMS,ISO27001 運用する組織に必要な規程が何かがわかる

    ISMS,ISO27001 運用する組織に必要な規程が何かがわかる

    本記事のテーマ

    ISMS,ISO27001 運用する組織に必要な規程が何かがわかる
    情報セキュリティ(ISMS)を運用する組織に
    必要な規程をあれこれ盛り込むと
    大変です!
    とはいっても、
    要求事項が多い情報セキュリティに
    規程は重要です!

    本ブログは、規程群はシンプルにし、
    組織運営が円滑になるポイントをわかりやすく解説します。

    • ① 規程の数は最小限にとどめる
    • ② QMSと比較するとISMSの規程は作りやすい
    • ③ ISMSの規程群の構成・特徴
    • ④ ISO27001 2022要求事項・管理策に乗せると作りやすい

    ① 規程の数は最小限にとどめる

    ISO27001 2022を例に
    34の要求事項と93 の管理策
    を網羅する規程が必須です。


    でも、
    規程は全部でいくつ必要?

    1つの要求事項に1規程とすると133個になり、

    組織が回りません。。。絶対! 無理ゲーです!

    なので、

    組織が回すために
    最小限の規程数としましょう。

    ② QMSと比較するとISMSの規程は作りやすい

    QCプラネッツはQMSからマネジメントシステムを学んでいますが

    QMSと比較してみると、ISMSの規程の作り方のヒントがわかります。

    組織が必要とするQMSの規程とは

    QMS(品質マネジメントシステム)を運用している組織では、
    大同小異ありますが、下の表の規程群でまとめられていると思います。

    ここで、設計、製造、検査部門の個別の規程は不含とし、
    本社、事業部全体のQMS規程を列挙しました。

    QMSも面倒ですが、
    10数個の規程しかないことがわかります。

    組織が必要とするISMSの規程とは

    QMSを参考にすると、

    ISMSも
    10数個の規程にしぼらないと
    組織運営が厳しいことがわかります。

    ただし、

    QMS: ISO9001 2015 要求事項は30個程度
    ISMS:ISO27001 2022 要求事項+管理策=130個程度
    と4倍の違いがあります。
    ISMSの規程は
    1つの規程でなるべく多くの
    ISO27001 2022 要求事項、管理策の内容を
    含めておく必要があります。

    それも、

    内容を統体して、
    少ない規程情報でなるべく多くの
    ISO27001 2022 要求事項、管理策の内容を
    含めるよう努力しましょう。

    QMS規程とISMS規程を比較

    組織が円滑に運用できるための、最小限のISMS規程をまとめると下表を考えることができます。

    もちろん

    • QMSとISMSで共通あるいは似通った規程
    • QMS単独の規程
    • ISMS単独の規程

    がそれぞれあります。

    ③ ISMSの規程群の構成・特徴

    ISMSに必要な規程群についてみていきましょう。

    組織が必要とするISMSの規程とは

    まず自分で考えてみよう!

    ルールを決めなければいけないものを列挙すると

    • 情報セキュリティポリシー・方針
    • 情報セキュリティ目標
    • 情報セキュリティの年間活動
    • 情報セキュリティマニュアル
    • 組織の責任と権限
    • 力量管理
    • 監査(内部監査、第2者監査、外部審査)
    • アクセス権限の管理
    • 法規制関係
    • セキュリティ事故(インシデント)対応

    が思い浮かぶはずです。これは、情報セキュリティの専門知識が無くても、
    セキュリティ(防御)に必要な項目を考えたらわかるものですね。

    ISO27001 2022要求事項を見てみよう

    次に、以下の2つを検討します。

    • 要求事項+管理策から必要な規程を探すこと
    • それぞれの規程にどの要求事項+管理策を盛り込むかを考えること

    要求事項+管理策から必要な規程を探すと

    • 事業継続
      (QMSよりISMSの方が深刻だから)
    • 物理的・環境的管理
      (管理策7にあり、比較的理解しやすい)
    • リスクマネジメント管理
      (リスクアセスメント運営を重視するため)

    についての規程が追加で必要とわかります。

    内容を統体して、
    少ない規程情報でなるべく多くの
    ISO27001 2022 要求事項、管理策の内容を
    含めるよう努力しましょう。
    となります。

    ④ ISO27001 2022要求事項・管理策に乗せると作りやすい

    実際に組織に合うISMS規程群を作ってみましょう。

    ISMSの組織運営のための規程群

    ISMSの組織運営のための規程群は

    • QMSをヒントに最小限の規程群にする
    • 要求事項+管理策からISMS個別の規程群を盛り込む
    • 規程の内容は少な目であるが、要求事項+管理策を網羅するように、細かくではなく内容を統体して書く

    とQCプラネッツから提唱しました。

    ISMSの規程群の作り方

    下図のように、

    • 必要最低限のISMS規程を一回作る。
    • 個別の「要求事項+管理策」に合う規程を探し割り当てる。
    • 「要求事項+管理策」に合わせるが、どうしても個別の規程が必要な場合は、規程を増やす
    • 「要求事項+管理策」のうち、複数の事項が1つにまとめることができる場合は、なるべくまとめる。まとめるために規程内容が少々抽象化してもよい。
    • 「要求事項+管理策」が全て入り切るまで何度も見直す

    結構大変で何度もフィードバックや修正が必要な作業になります。

    ISMSの規程群の例(QCプラネッツ)

    QCプラネッツも実際に作ってみた規程群を例に
    「要求事項+管理策」との関係図も紹介します。

    【リンク】QCプラネッツのISMS規程群

    いかがでしょうか?

    ISMSの規程群を作る裏側はめったに紹介されませんが、
    ここがISMSを有効に組織運営する大事なポイントです!

    実際に規程群を泥臭く作ってみて実感しましたので、解説しました!

    ISMSって結構泥臭い仕事

    情報セキュリティのマネジメントシステムは
    情報セキュリティの専門性の高さより
    組織全体が目的に向かって進むために
    いろいろ泥臭いことです。

    情報セキュリティの専門の高さが高ければISMS,ISO27001が回せると思われがちですが、

    組織の各メンバーが情報セキュリティに求められる行動をキチンと実行するかを監視したり、動機づけたりする方にエネルギーを集中すべきです。

    ISMSを自力で構築(書類群をつくってみて)わかりました。

    逆にいれば、
    ソフトウェアや情報セキュリティが苦手でも、
    組織運営を支える泥臭い仕事が好きであれば
    ISMS,ISO27001は回せると言えます。

    まとめ

    以上、「ISMS,ISO27001 運用する組織に必要な規程が何かがわかる」を解説しました。

    • ① 規程の数は最小限にとどめる
    • ② QMSと比較するとISMSの規程は作りやすい
    • ③ ISMSの規程群の構成・特徴
    • ④ ISO27001 2022要求事項・管理策に乗せると作りやすい
error: Content is protected !!