4.2 ISMSの確立及び運営管理

4.2.1 ISMSの確立

ISMSの確立とは、ズバリPDCAでいうところのPlanです。

ISMSの確立としてまずはこれらのことを実施しなければならないとされています。

a)事業・組織・所在地・資産・技術の特徴の見地から適用範囲及び境界を定義する。また、除外についてはその詳細とその理由を含める。

この適用除外については、特に

などがあった場合、その内容を明確にしなければならないことになっています。

b)基本方針の制定

基本方針は、文面の要求は明確にされていませんが、次の内容を満たせることが求められています。

c)リスクアセスメントの定義

リスクアセスメントをどのように行うのか定義することを求められています。

その定義とは次のとおりです。

ここでのリスクアセスメントの方法については、なんとなく判定するものであってはならないとされています。

それは、人の個人的な感覚によるものでは、正しいレベル判定が出来ているとは限らないためです。

そのため、結果を比較でき(複数の情報資産などで比較、時系列で比較など)、再現可能な結果を出せる(誰がやってもきちんと再現できる方法であること)ような手法でなくてはならないとされています。

それらを踏まえると、ツールを使用することや、標準的な書式などを使用することがおのずと必要になります。

d)リスクの特定

リスクについては、次のように特定することが求められています。

  1. ISMSの適用範囲内にある資産及びその管理責任者を特定
  2. 資産に対する脅威を特定
  3. 脅威がつけ込む可能性のある脆弱性を特定
  4. 機密性、完全性、可用性の喪失がそれらの資産に及ぼす影響の特定

まず、資産の特定が必要となります。

ここで言う資産とは、守らなければセキュリティが保てないもの=方針で守るべきものであると特定しているものとなります。

逆に言うならば、明確に方針でどのような情報資産を守るべきだと考えられるのかを提示しなければ、ここでは特定できなくなってしまうとも言い換えられます。

守るべき資産を特定したら、次は資産に対する脅威を特定します。

脅威とはたとえば、盗難、紛失、破損、盗聴などといったものです。

要は、資産に対して何か悪影響を及ぼす可能性のあるものを特定しなさいということです。

そもそもここで、可能性がないものはまず消えていきます。

たとえば、紙の盗聴などはありえませんし、そもそもデータで存在しないもののデータ破損などといったものも考えられません。

まずはここで可能性のあるものを洗い出すわけです。

そして、次のステップで、その脅威が起こりえるような脆弱性を洗い出します。

脆弱性とは、脅威を誘発してしまうような状況のことです。

と、なれば、脅威ごとに個別の脆弱性がありえるはずです。

まずはここで、脅威と脆弱性のセットが出来るようになります。

もちろん、ひとつの脅威に対して複数の脆弱性が組み合わさる可能性もありますが、それは個別に洗い出しておきます。

そして、その脅威が起こった場合に、機密性、完全性、可用性においてどのような影響があるかを事前に特定しておきます。

e)リスクを分析、評価する

リスクについては次のように分析します。

  1. リスクが発生した場合の事業的な影響を評価する。(機密性、完全性、可用性の喪失により、どのような被害をこうむるか)
  2. 前述の手順で認識した脅威と脆弱性を具体的に情報資産に当てはめて、現実的に発生する可能性があるか、どの程度発生可能性があるかを評価する。(すでに対策が実施されているものなどは発生可能性が下がると考える)
  3. リスクレベルを算定する(リスクアセスメントの手法に基づく)
  4. リスクが受容できるか、前述の判断基準から判断する。

これが分析です、その後、リスク対応について評価します。

リスクに対応するための方法を以下のうちから検討して、その対策が有効に機能するか評価する。

これらの結果に基づいて、最後に附属書Aの詳細管理策から実現する管理策を選定します。

h)承認

リスク対応をした結果、

について経営陣に承認を得ます。

i)承認

管理策自体の許可を得ます。

これについては、承認とまではいっておらず、あくまで許可が得られればよいので、許可の証拠までは求められていません。

j)適用宣言書の作成

適用宣言書とは、リスクアセスメントの結果選択した管理目的と詳細管理策がどれなのか、また選択していない管理目的と詳細管理策はどれなのか、もともと選択していた管理策はどれなのか

わかるようにするために作成するものです。

また、それぞれに理由を含めることで、管理策に抜けがでないようにすることを求めています。