ISMS(ISO/IEC 27001)をきちんと説明できるか
ISO/IEC 27001は、情報の機密性・完全性・可用性のマネージメントし運用するための枠組みである情報セキュリティマネジメントシステム(ISMS)としてよく知られています。思い立ったら吉日ということで日科技連が出版している「内部監査の実務と応用」を元にISMSについて勉強した際の備忘録です。
ISMSは監査がらみで語られることが多いので監査について言葉の意味も含め確認し、ISMS(ISO/IEC 27001)とリスクマネージメントプロセスについて書いていこうと思います。
監査の目的と必要性
内部監査の目的は「組織の活動が定められたルールに従って行われているか」を確認し、
逸脱することがあれば改善するように指摘することで、組織が行う活動をルールに適合させることです。
ここには「定めたルールが業務の阻害要因になっていないか」を確認、指摘することで
活動の有効性を維持・改善させることも含まれます。
内部監査の必要性は規格の要求事項を正確に理解している監査員が
被監査部門の自己点検では発見できない客観的な不具合を指摘し改善に繋げることにあります。
監査の理解のために必要な単語の深堀り
この目的と必要性を正確に理解するためには、各単語の深堀りが必要になります。
監査(audit)はラテン語の聞く(audire)から来ており「聞き取る」から来ています。
監査は「監査基準を満たされている程度を判定するために、監査証拠を収集し、それを客観的に評価するための体系的で、
独立し、文章化されたプロセス(ISO 19011:2011/JIS Q19011:2012)」です。
監査証拠は監査基準に照らして適合を適合または不適合を客観的に証明する記録、事実の記録です。
適合は何らかの基準があり、その基準を満たしていることです。基準に対する評価は「適合」か「不適合」となります。
「不適合」は「重大な不適合」と「軽微な不適合」に分類され、それぞれの定義は組織によって任意の定義を可能としています。
監査所見は監査証拠に基づいて監査員が監査基準との適合性を評価した結果です。
「適合・不適合」以外に「改善の機会(opportunity for improvement)」を示すことができます。
維持(maintain)は、「望ましい状態を保つため整備し保全する」という意味合いが含まれます。
プロセス(process)とは、インプットをアウトプットに変換する。相互に関連する又は相互的に作用する一連の活動とされています。
つまり、「インプット、処理、アウトプット」を単位として、目的達成を意図した活動です。
有効性とは、計画した活動を実行し、計画した結果を達成した程度のことです。
以上の言葉の定義を元に監査目的と必要性を読み直してみると理解が深まります。
ISO/IEC 27001規格の要求とは
組織は品質、環境、情報セキュリティの3つの経営要素に関して、統合したマネジメントシステムを運用していることが一般的です。
従って、品質、環境、情報セキュリティに関してQMS ISO9001、EMS ISO14001、ISMS ISO27001が該当しますがかなりの部分で重複があるため、それぞれ共通の要求事項(MSS共通要求事項)をベースに分野毎の個別要求事項をクリアする方法が効率的ということになります。
ISO/IEC 27001規格の要求は3つにまとめられます。
①組織のISMSが有効に実施され、維持されているかに関して、ISMSの目的達成のための活動が、計画した通りに実施され、目的を達成していることを確認すること
②ISO/IEC 27001規格の要求に則り構築したISMSの活動に関して、自らが定めた方針、規則・規定、手順を順守していることを確認すること
③②および組織の中で誰もが当然のように実施していて文書化を必要としない「明文化されない事項」を含めてISO/IEC 27001規格の要求事項に適合していること
上記により、ISO 31000に規定する情報セキュリティリスクアセスメント及びリスク対応のプロセスに繋がり、ペネトレーションテストの結果を効果的に利用する基盤が構築されます。
ここでのリスク(risk)とは、「目的に対する不確かさの影響」と定義されています。これはいい影響とも悪い影響とも規定されていない点に注目しましょう。
リスクはある視点から見たときの目的に対する不確実性、予想の難しさを示しています。
冒頭にあった共通観点+個別要求事項で考えたときQMS、EMSでも方針管理や改善活動管理といったことなどは共通しており、ISMSがQMSやEMSと比較したときMSの活動視点で主要要素として完全に独自なのは「情報セキュリティ管理」のみとなります。
共通部分でピックアップしたいのが箇条5.2方針に関しての記述です。情報セキュリティ方針(情報セキュリティポリシー)は、「組織の目的」を最上位に、情報セキュリティ方針、情報セキュリティ目的(WHY)、情報セキュリティ規定・標準(WHAT)、手順マニュアル(HOW)とそれぞれが上位の文章と整合性を保つように策定、運用しなければならないとあります。組織の目的は市場の変化や技術的な革新など外的な要因や会社規模や上場など社会的な役割の変化により変化が生じ、手順マニュアル(HOW)も、技術革新や社員の技量など様々な要素により変化が生じるため、常に変化があり時間が経てば整合性は自ずと崩れるものと認識しなければなりません。さらに要求事項の実現のためには「しなければならない」とだけ定めるのは不十分です。許認可のプロセス、実施チェックプロセスの運用など個人的な判断を徹底的に除外する必要があります。
ISO/IEC 27001の「情報セキュリティ管理」とは
情報セキュリティは情報の機密性、完全性、可用性を維持することとなっています。
真正性、責任追跡性、否認防止性、信頼性は必須となっていません。
ここでの情報セキュリティリスクは脅威が資産又は資産グループの脆弱性に漬け込んだ結果、組織に損害を与える可能性に伴って生じます。
リスクアセスメントはリスク特定、分析、評価までのプロセス全体を示します。さらにリスク対応やモニタリング、レビューといった全体をリスクマネジメントプロセスと言います。リスクと機会は表裏の存在であり、機会(opportunity)を選択すると同時にリスクも決定されます。機会はchanceではなくopportunityと書かれており、偶発的な利得の機会としてのchanceではなく、一定の方法に基づき入手が推定される機会としてのopportunityで考えることとされています。そして選択した機会に対するリスクは先のリスクマネジメントプロセスにより管理します。この中心のプロセスとなるリスクアセスメントの前提はリスク基準の確立です。リスク基準は明確で判断する人間によって差異が生じないことが求められます。
情報資産の明確化
情報資産とは組織においての責任が追求可能な情報です。IPAでは「資産」として「価値」がある「情報」としていますが、これは誤解を招く表現に思えます。一応、IPAの記述においても後述に価値があるというのは漏洩などによりビジネスインパクトが生じる場合も含むなど記載がありますがつまりどういうことなのか説明するのは難しいのではないでしょうか。
シンプルに扱い次第で企業や組織の責任が追求される情報は情報資産と考えれば少なくとも漏れはなくなるでしょう。
リスク特定
リスクを発見、認識、記述するプロセスです。リスクの特定にはリスク源、事象、それらの原因および起こり得る結果の特定が含まれます。リスク源は人・組織・システムなどの存在に加え、自然現象の現象とルール運用されていない、管理されていないなどの状態、つまり存在・現象と状態の組み合わせです。
リスク分析
リスクの特質を理解し、リスクレベルを決定します。
リスクレベルとは、結果とその起こりやすさの組み合わせとして表現されるリスクの大きさのことです。
リスク評価
リスクが受容可能か許容可能かを決定するために、リスク分析の結果をリスク基準と比較するプロセスです。
リスク評価はリスク対応に関する意思決定を手助けする目的を持ちます。
リスク対応の実施、並びに適用宣言書の作成
リスクを修正するプロセスです。
リスクを生じさせる活動を開始、継続させないことを決定することによって、リスクを回避します。
リスクの起こりやすさを変更する、リスク対応自体が新たなリスクを生み出す可能性に関しても考慮が必要となります。
適用宣言のレビュー
目的を達成するための適切性、妥当性、有効性を決定するための活動です。
リスク対応計画の策定
リスクを修正するためのあらゆるプロセス、方針、仕組みの策定を行います。
リスク対応計画の管理
リスクを修正するためのあらゆるプロセス、方針、仕組みの実施と有効性を測定するレビューの実施などの管理を行います。
リスク対応の後に残っている残留リスクに関して受容可能か追加の対応かを判断するなども含まれます。
知識があって監査を受ける場合とそうでない場合では効果が違うのは明白です。事業活動が一貫した管理された活動として運用されるために一度はISMSを勉強し、自身や関連事業部の業務やドキュメント・手順を見直して見ることをお勧めします。
以上です。参考になれば幸いです。