箇条10では,不適合が発生した場合の処置と,ISMSの適切性,妥当性および有効性を継続的に改善することを要求しています。
この記事では,「10.1 不適合及び是正処置」について,規格要求事項の解説と併せて,ISMSの構築・運用や文書化の際のポイントを具体例や文書例を挙げながら解説します。
規格要求事項の解説
「10.1 不適合及び是正処置」では,不適合が発生した場合に,是正処置を実施することを要求しています。
10.1 不適合及び是正処置
不適合が発生した場合,組織は,次の事項を行わなければならない。
a) その不適合に対処し,該当する場合には,必ず,次の事項を行う。
1) その不適合を管理し,修正するための処置をとる。
2) その不適合によって起こった結果に対処する。
b) その不適合が再発又は他のところで発生しないようにするため,次の事項によって,その不適合の原因を除去するための処置をとる必要性を評価する。
1) その不適合をレビューする。
2) その不適合の原因を明確にする。
3) 類似の不適合の有無,又はそれが発生する可能性を明確にする。
c) 必要な処置を実施する。
d) とった全ての是正処置の有効性をレビューする。
e) 必要な場合には,ISMSの変更を行う。是正処置は,検出された不適合のもつ影響に応じたものでなければならない。 組織は,次に示す事項の証拠として,文書化した情報を保持しなければならない。
ISO/IEC 27001:2013(JIS Q 27001:2014)
f) 不適合の性質及びとった処置
g) 是正処置の結果
是正処置とは,情報セキュリティ事象やインシデントが発生した際に,再発防止を図ることですよね?
是正処置には再発防止だけではなく,不適合の修正のほか,必要に応じてISMSの変更など様々な対応が含まれるんだよ。審査で不適合が検出された場合には,この是正処置プロセスが重要になるので注意が必要なんだ。
用語の定義
「不適合」と「是正処置」について,ISO/IEC 27000:2013(JIS Q 27000:2014)では,次のように定義しています。
2.53 不適合(nonconformity)
要求事項を満たしていないこと.2.19 是正処置(corrective action)
ISO/IEC 27000:2013(JIS Q 27000:2014)
不適合の原因を除去し,再発を防止するための処置.
不適合は,「要求事項を満たしていないこと」と定義されていますが,要求事項の例として,次のものが挙げられます。
- ISO/IEC 27000:2013(JIS Q 27000:2014)の規格要求事項
- ISO/IEC 27000:2013(JIS Q 27000:2014)に基づいて,組織が自ら定めた要求事項(社内規程,ルール,手順など)
- 法令・規制による要求事項
- 契約事項・顧客要求事項
不適合とは,上記に挙げた要求事項を満たしていないということであり、必ずしも情報セキュリティ事象・インシデントに結びついている状態ではありません。
不適合の是正処置プロセス
不適合は,「不適合の原因を除去し,再発を防止するための処置」と定義され,原因の除去と再発防止が求められていますが,この原因の除去については,不適合が発生した根本原因にまでさかのぼって原因を突き止める必要があり,根本原因の突き止めが不十分であれば,再発防止とならない可能性があります。
不適合の修正と結果への対処【10.1 a)】
規格は,不適合が発生した場合に,不適合状態を適合状態に戻すために「修正」を行うことと,その不適合によって起こった結果に対処するよう求めています。
是正処置および再発防止【10.1 b)】
不適合の再発や他で発生しないように,不適合の発生原因を突き止め,その原因を除去するための処置ができるかについて評価するほか,類似の不適合がほかでも発生していないか,または発生する可能性がないかを確認します。
是正処置の実施【10.1 c)】
原因を除去するための処置をとる必要性があると評価された不適合について,是正処置を実施します。
是正処置の有効性レビュー【10.1 d)】
是正処置の実施後,それらの処置の有効性を評価します。
ISMSの変更
是正処置を実施し、有効性をレビューした結果,組織のISMSについて変更の必要がある場合には,ルールや手順を変更します。
構築・運用のポイント
規格は,不適合に対して「修正」と「是正処置」を分けて実施するよう要求しています。実際の認証審査の現場においても,不適合が検出され場合に,「修正」と「是正処置(再発防止含む)」とを分けて是正報告するよう求めてきます。
修正と是正処置
例えば,リスクアセスメントの結果,リスク対応として「機密度の高い情報の外部への無断持出しを禁止し,持出す際は承認を得る」というルールが策定されたケースにおいて,内部監査で監査を実施した結果,ルールが守られておらず,機密度の高い情報の無断持出しが常態化しているという不適合が検出された場合について考えてみましょう。
この場合,改めて持出しの承認を得たい情報の持出し申請・承認手続きを行うことが修正であり,無断で持出された情報はすべて回収したうえで,承認された情報と持出しが認められなかった情報の両方を適切に管理することが,不適合によって起こった結果への対処ということになります。
さらに,なぜ情報が無断で持出されたのかの原因について,ルール周知や教育に不備がなかったのか,機密度の高い情報のアクセス管理そのものに問題はなかったのか,持出し申請・承認のワークフローに問題がなかったのかなど,不適合の原因を突き止め,同様の事象がほかでも発生していないか,潜在的に発生しうる状況にないかを明らかにするなどしたうえで,不適合の類似発生および再発防止を確実にするための処置をとることになり,この処置が是正処置となります。
是正処置の文書化
規格は,検出された不適合への対応について,不適合の性質や処置の内容および是正処置の結果を示す証拠として,文書化した情報として保持するよう要求しています。
この文書化した情報には,是正処置の有効性レビュー結果や必要に応じて実施したISMSの変更についても含めておくと良いでしょう。