QCプラネッツ

【ISO27001 2022 6.1】 ISMS 計画がわかる

執筆者:

QCプラネッツ

カテゴリ:

本記事のテーマ

ISMS 計画がわかる

ISMS 計画(情報セキュリティ計画)の重要なポイントをわかりやすく解説します。

  • ① 方針(ポリシー)とリスクアセスメントとの関係をおさえる
  • ② ISMS 計画がわかる
  • ③ ISMS 計画の年間活用方法

① 方針(ポリシー)とリスクアセスメントとの関係をおさえる

ISMSには、似たような文書があります。
相互の関係性、整合性をおさえることが重要です。

  1. 情報セキュリティ方針(ポリシー)
  2. 情報セキュリティリスクアセスメント
  3. ISMS 計画(情報セキュリティ計画)

互いに整合させると全体感が見えない

活用方法が異なりますが、違うものとして扱うと、

・情報セキュリティ方針(ポリシー)と
・情報セキュリティリスクアセスメントと
・ISMS 計画(情報セキュリティ計画)
は何が違うのか?
互いに整合性をおさえたいが
どう同じでどう違って、どう扱えばいい?

と混乱します。

つまり、

・情報セキュリティ方針(ポリシー)と
・ISMS 計画(情報セキュリティ計画)
は整合性が合うように計画書を作る!

そして、

・要求事項6.1.1 ISMS 計画(情報セキュリティ計画)と
・要求事項 6.1.2 情報セキュリティリスクアセスメントも
は整合性が合うように計画書を作る!

となりますよね。

すると、

・情報セキュリティ方針(ポリシー)と
・要求事項 6.1.2 情報セキュリティリスクアセスメントも
は整合性が合いそうだけど、
互いにどんな関係?

となりますよね。ここって、
あまり解説されていないので迷ってしまいます。

ここで、注意したいのは、

①情報セキュリティ方針(ポリシー)とISMS 計画
②情報セキュリティリスクアセスメントとISMS 計画
それぞれ対応を考えていると二度手間で煩雑&難解になります。

全体感で考える

なので、

・情報セキュリティ方針(ポリシー)と
・情報セキュリティリスクアセスメントと
・ISMS 計画(情報セキュリティ計画)
1セットで考える

すると、先の疑問が湧きますので、
3つの関係性を解説します。

まず、

・情報セキュリティ方針(ポリシー)と
・情報セキュリティリスクアセスメントと
・ISMS 計画(情報セキュリティ計画)
どれもリスク対策であること

この共通点は当たり前ですね。

あえてそれぞれのテーマ、文書としてあるので、何がちがうのでしょうか?

それは

情報セキュリティ方針(ポリシー)は
【対外】、【対内】の両方の内容がある。

方針の例として、

  1. 社外に対する宣言がある【対外】
  2. 社内で実施する宣言がある(対内)

がありますね。
確かに、【対外】、【対内】の両方があります。

一方、

情報セキュリティリスクアセスメントは
【対内】の内容のみである。

内外の影響から自分たちにとってどんなリスクがあるかを洗い出す性質があるので、
【対内】のみとなります。

以上から、下の関係図でまとめることができます。

この図から、関係性がよくわかりますね。

② ISMS 計画がわかる

具体的に、計画表を作ってみましょう。

計画へのインプット情報

「① 方針(ポリシー)とリスクアセスメントとの関係をおさえる」
で述べた通り、

情報セキュリティ方針(ポリシー)と
情報セキュリティリスクアセスメント
のリスク情報がインプットとなります。

これは確かにそうですが、

実際は、
情報セキュリティ方針(ポリシー)と
情報セキュリティリスクアセスメント
情報セキュリティ計画
作成を同時に進めながら、インプット情報の精度を高めていきます。

ISO9001 品質目標のように考えてもよい

ISMSを取り掛かる人の中で、
QMS(品質マネジメントシステム)、ISO9001も
取り掛かる人もいるでしょう。

QCプラネッツもそうです。

品質方針(ポリシー)⇔情報セキュリティ方針(ポリシー)
品質目標⇔情報セキュリティ計画
QMSリスクアセスメント⇔情報セキュリティリスクアセスメント
対応して考えるとわかりやすいです。

同じ組織、会社でマネジメントシステムを回すならなおさらだと思います。

計画の例(アウトプット)

例を出します。

計画事例を挙げました。
次に活用のポイントを解説します。

③ ISMS計画の年間活用方法

まず、一番大事なことは

計画の目的をおさえること

情報セキュリティ計画を管理する上で、
管理が目的化するのではなく、
あなたの組織に襲うリスクがないこと
である点を忘れずに運営しましょう。

計画から運営するポイント

QMS、ISO9001 品質目標と似ていますが、以下のポイントで運営します。

  1. 方針、目標、リスクアセスメントの項目と
    計画の活動施策の内容は整合させること
  2. 項目の中に【対外】【対内】を色分けし、方針、リスクアセスメントと計画との関係性を確認すること
  3. 各活動施策の評価・メトリックは数値化できるものとする
  4. 結果から有効性評価を行い、次年度の計画やマネジメントレビュー報告につなげること

その他、【社外秘】(文書のセキュリティレベル)や
変更履歴
承認回付
もあります。

計画の事例を挙げました。
ISMSはルールが煩雑で
書類が多くなる傾向があり、
それぞれの要素感の整合性を合わせる必要がある
など、運営を難しくなる傾向が強いです。

だからこそ、ISMSの各要素の整合性を確実にし、
統合できるところは統合し、簡素化する工夫が重要です。

計画も簡素化し、計画から実行・評価につなげ、
ISMSリスクをあなたの組織から排除できることが一番大事です。

まとめ

以上、「ISMS 計画がわかる」を解説しました。

  • ① 方針(ポリシー)とリスクアセスメントとの関係をおさえる
  • ② ISMS 計画がわかる
  • ③ ISMS 計画の年間活用方法

投稿をさらに読み込む

error: Content is protected !!