(※本記事は、ISOコンサルタントである社員の寄稿記事を編集したものです)
ISOコンサルタント「Tomo」です。ISO27001移行の進み具合はいかがですか?
前回と今回の部分がISO27001の移行を乗り切るコツとなりますので、頑張ってください。
今回も、実際の箇条番号が出てきますので、規格を見ながらお読みいただくと理解が深まります。
1.前回の振り返り
前回では箇条4 組織の状況を中心にお話を進めてきました。
箇条4では、新たに企業の「内外部の課題」(4.1)と「利害関係者の要求事項」(4.2)を明確化することが新たに要求されています。
この要求を「内部、外部の課題分析表」や「利害関係者一覧」により明確にしていることが、今回のお話の前提となります。
2.6.1リスク及び機会に対処する活動について
箇条6 リスク及び機会に対処する活動では、6.1.1 一般が全く新しい要求事項として追加されています。(ちなみに、6.1.2 情報セキュリティリスクアセスメントと6.1.3 情報セキュリティリスク対応については従来の規格の要求事項とほぼ変更はありません)
したがって、従来のリスクアセスメントだけで移行審査を受けるのは無謀な対応だと思います。
規格では、4.1に規定する課題及び4.2に規定する要求事項を考慮し,
1. 意図した成果を達成すること
2. 望ましくない影響を防止又は低減すること
3. 継続的改善を達成すること
に対して「リスク及び機会」を決定することを要求しています。
この「リスク及び機会」の解釈に注意が必要です。
「リスクと機会」というひとかたまりで捉えるという考え方もあれば、リスク(マイナス要因)、機会(プラス要因)と、それぞれ分けて考えるとよい、という考え方もあります。受審する審査機関に確認を取ることをおすすめします。
ドキュメントとしては、リスク及び機会を把握するような分析表(ISMSのリスクアセスメント)が必要になると考えられます。
3.準備すべきドキュメント
箇条6 計画で準備すべきドキュメントには、次のようなものがあります。
6.1.1 一般
リスク及び機会把握リスト:これは新規格での対応ドキュメントになります。4.1からの内外部課題からインプットすることがポイントです。
6.1.2 情報セキュリティリスクアセスメント
リスクアセスメント手順及び分析結果:従来のドキュメントで対応可能です。
6.1.3 情報セキュリティリスク対応
リスク対応計画、残留リスク一覧:従来のドキュメントで対応可能です。
4.お役立ち情報
箇条6では、従来のリスクアセスメントだけでは不十分というのが、多くの審査機関で言われているようです。
すなわち、先ほども記載しましたとおり、従来のリスクアセスメントとは別に、ISMSのリスクアセスメント(6.1.1)について、何らかの文書化が必要であると予想されます。
移行の正解は、2015年の年初には、明確になっているものと予想されますが、いろいろな情報に惑わされず、現状の方法を信じて移行を進めることが最短の近道です。
本コラムが少しでも参考になり、皆様の移行が成功することを祈っております!
ソルクシーズの「セキュリティコンサルティング」サービスはこちら
