情報セキュリティマネジメントの改訂ポイント:みならい君のISMS改訂対応物語(3)(3/4 ページ)
「情報セキュリティ目的およびそれを達成するための計画策定」と「コミュニケーションに関する追加要求事項」のポイント
情報セキュリティ目的とコミュニケーション……これは、新しい要求事項ですね?
そうだね、これもハイレベルストラクチャーの採用によって追加された要求事項だね!
でも、目的ってなんだろう?
よい質問だね! 気を付けなければならないことは、ISO/IEC27001:2013では、「目的」という用語を、2つの原文(英語)でこの言葉を用いているんだよ、一つは、「Purpose」で、「4.1 組織およびその状況の理解」と「5.2 方針(a)」で出てくる「組織の目的(Purpose)」が、それに当たるね。もう一つは、「Objective」で、「5.1 リーダーシップおよびコミットメント(a)」「5.2 方針(b)」「6.2 情報セキュリティ目的およびそれを達成するための計画策定」「8.1 運用の計画および管理」と「9.3 マネジメントレビュー」に出てくる、「情報セキュリティ目的(Objective)」だよ。
みならい君! ISO/IEC27000:2013の定義2.56では、「目的(Objective)」とは、「達成する結果であり、同じような意味を持つ別の言葉である、狙い(Aim)、到達点(Goal)、および目標(Target)と表すこともでき、ISMSの場合は、特定の結果を達成するために、情報セキュリティ方針と整合のとれた情報セキュリティ目的を設定することを意図としている」と規定されているわ!
そうだね、マネジメントシステムにおいては、「方針」が方向(原則や基本的な考え方、最終ゴールなど)を示すものであることに対して、「目的(目標)」はその方針の達成度を判定する一つの指標であると考えられているんだよ、従って、情報セキュリティ目的が達成しているということは、トップマネジメントが設定し、情報セキュリティ方針に記載された自社の情報セキュリティマネジメントシステムの狙いや最終ゴールに適切に向かっているという考え方なんだよ!
そうか〜、ISO9001の品質目標や、ISO14001の環境目標のようなものなんですね!
図1 情報セキュリティ目的およびそれを達成するための計画策定コミュニケーション(7.4)もハイレベルストラクチャーの採用によって追加された要求事項ですね?
そうだね、これは、効果的なISMSを実施するために、そのタイミングごとに適切なコミュニケーションを実現するための要求事項だよ! 言い方を変えれば、体系的なコミュニケーションプランを策定することを指しているんだよ!
例えば、インシデントの報告なども含まれるのかなあ?
そうだね、インシデントの報告や事象や弱点の報告、または脆弱性情報の入手や情報共有なども含まれることが期待されるね!
| 当社のISMSの変更/更新に関するコミュニケーション手順 | 当社のISMSのぜい弱性や弱点に関するコミュニケーション手順 | インシデント発生時の報告に関するコミュニケーション手順 | 外部へのインシデント報告に関するコミュニケーション手順 | ぜい弱性情報の入手に関するコミュニケーション手順 | |
|---|---|---|---|---|---|
| 内容(何を伝達するか) | 当社のISMS文書の変更や更新に関する情報 | 社内で発見された当社のISMSのぜい弱性や弱点 | 社内で発生した当社のISMSにおけるインシデント | コンピューターウイルスの感染や外部からの不正なアクセスを含むインシデントおよびその内容 | 市場で報告されたぜい弱性情報や新種のウイルス情報とその対策 |
| 実施時期 | 上記の変更が発生した段階 | 上記が発見された段階 | 上記が発生した時点 | 上記が発生した時点 | 毎月○○日 |
| 実施者 | ISMS事務局(情報発信者) | 発見した社員(情報発信者) | 発見した社員(または発生させてしまった社員) (情報発信者) |
ISMS事務局(報告書) | ISMS事務局(情報入手者) |
| 対象者 | 全社員(情報受信者) | ISMS事務局(情報受信者) | ISMS事務局(情報受信者) | ・一般財団法人日本情報経済社会推進協会 ・情報処理推進機構(IPA) (報告先) |
情報処理推進機構(IPA) (情報入手先) |
| 実施手順 | 社内の電子掲示板に変更内容を掲示し、その内容を社内メールで伝達する | 「情報セキュリティ事象および弱点の報告」の手順に従い、「問題ごと・心配ごとレポート」に基づき、報告する | 「情報セキュリティインシデントへの対応」の手順に従い、「セキュリティインシデント報告書」に基づき、報告する | 電子メール(報告先の機関で所定のフォームがある場合は、それを利用)で、上記内容を報告する | 下記の機関のホームページを参照し、必要な情報を入手する。入手した情報を社内の電子掲示板に掲示し、社内メールで伝達する (1)警視庁のサイバー犯罪対策ホームページ (2)JPCERTコーディネーションセンター(JPCERT/CC) |
| 記録 | 社内の電子掲示板 | 「IS-Fxxx セキュリティインシデント報告書」 | 「IS-Fxxx セキュリティインシデント報告書」 | 報告した電子メールおよび機関から返信メールのハードコピー | 社内の電子掲示板 |
ということは、附属書Aの「A.6.1.3 関係当局との連絡」や「A.6.1.4 専門組織との連絡」、「A.16.1.2 情報セキュリティ事象の報告」「A.16.1.3 情報セキュリティ弱点の報告」などの実現手段にもなりますね!
その通り! それじゃあ最後に、改善の要求事項である是正処置の変更ポイントを整理しようか?
Copyright © ITmedia, Inc. All Rights Reserved.
ITmediaはアイティメディア株式会社の登録商標です。