箇条6では,組織のリスクマネジメントと整合性のあるISMSを構築するために,目的の達成を阻むリスクや目的を達成するための機会(契機)を明確にするほか,リスクアセスメントやリスク対応を実施するためのプロセスを確立することを要求しています。
この記事では,「6.1 リスク及び機会に対処する活動」について,規格要求事項の解説と併せて,ISMSの構築・運用や文書化の際のポイントを具体例や文書例を挙げながら解説します。
規格要求事項の解説
「6.1 リスク及び機会に対処する活動」では,6.1.1で情報セキュリティ目的の達成を阻むリスクや目的を達成するための機会(契機)を明確にすること,6.2.2でリスクアセスメントのプロセスの確立すること,6.1.3でリスク対応のプロセスを確立することを要求しています。
「6.1 リスク及び機会に対処する活動」には,要求事項がたくさん書いてありますね。
ボリュームが大きく重要なところでもあるので,3回に分けて解説していこう。まずは「6.1.1 一般」から解説していこう。
規格要求事項
6.1 リスク及び機会に対処する活動
6.1.1 一般
ISMSの計画を策定するとき,組織は,4.1に規定する課題及び4.2に規定する要求事項を考慮し,次の事項のために対処する必要があるリスク及び機会を決定しなければならない。
a) ISMSが,その意図した成果を達成できることを確実にする。
b) 望ましくない影響を防止又は低減する。
c) 継続的改善を達成する。組織は,次の事項を計画しなければならない。
d) 上記によって決定したリスク及び機会に対処する活動
e) 次の事項を行う方法
1) その活動のISMSプロセスへの統合及び実施
2) その活動の有効性の評価6.1.2 情報セキュリティリスクアセスメント
(略)6.1.3 情報セキュリティリスク対応
ISO/IC 27001:2013(JIS Q 27001:2014)
(略)
「リスク及び機会」ってどういうことですか?
例えば,外部状況の課題として法規制の強化への対応が認識されているとして,法改正によって,それまで違法とはされなかったことが明確に違法となるということはリスクであり,そのリスクに対しては,定期的に法改正の状況について調査し,必要に応じて手順を改定して適法性を維持する機会を設ける必要がある,ということなんだよ。
“機会”の解釈
規格原文では,”機会” は “opportunities” ですが,規格において用語の定義がありません。オックスフォード辞書によると “opportunity” とは,「a time when a particular situation makes it possible to do or achieve something(特定の状況が何かを実行または達成することを可能にする時)」とありますので,日本語としては,“契機” や “きっかけ” のような意味合いで,“chance” のような偶発的な可能性のことでないと解釈できます。
”リスク及び機会の決定” とは,組織のISMSの構築・運用するために管理すべきリスクを明確にし,組織のISMSが意図した成果を達成するための機会や望ましくない影響を防止するなどの機会を得るための活動を計画するということを指しています。
ISMSの計画の策定
「6.1.1 一般」では,ISMSの計画を策定する際に「4.1 組織及びその状況の理解」で明確にした外部・内部の課題と「4.2 利害関係者のニーズ及び期待の理解」で明確にした利害関係の要求事項を考慮して,リスク及び機会を明確にすることが求められています。
また,マネジメントシステム全体の計画を策定する際に,達成すべき事項として,6.1.1 a)〜c)の3つを挙げて,それらために対処する必要があるリスクと機会を明確にすることを求めています。
ISMSが意図した成果(6.1.1 a)
「ISMSが意図した成果」には,ISMSに取り組むすべての組織に共通している成果と,ISMSを確立しようとする組織が定める成果があります。すべての組織に共通している成果とは,
- リスクマネジメントプロセスを適用することによって,情報の機密性,完全性,可用性を維持する
- リスクを適切に管理しているという信頼を利害関係者に与える
といったことが挙げられますが,「ISMSが意図した成果を達成することを確実にする」ことを阻むリスクはどのようなリスクなのか,また,「ISMSが意図した成果を達成することを確実にする」ための契機とはどのようなことなのかを明確にする必要があります。
望ましくない影響の防止・軽減(6.1.1 b)
6.1.1 b)は,ISMSについてのリスクが顕在化する前に行うべき,予防・抑止について対処する必要があるリスク及び機会を明確にするよう求めています。すなわち,ISMSにとって望ましくない影響の防止または低減を阻むリスクとは何か,ISMSにとって望ましくない影響の防止または低減の契機となるのはどのようのことがあるのかを明確にするということです。
継続的改善の達成(6.1.1 c)
6.1.1 c)の「継続的改善の達成」は,箇条10 改善と関連しています。“ISMSを継続的に改善する” という目的に対するリスクとは何か,ISMSの継続的改善となる契機にはどのようなことがあるのかを明確にします。
リスク及び機会に対処する活動の計画(6.1.1 d)
明確にされたリスク及び機会に対処する活動について,前述の法規制の強化への対応というリスクに対して,適法性の維持のための機会の設定が必要であると定めたのであれば,組織に適用される法令や規制を特定してリスト化し,その改正状況や内容を確認して組織内の規定や手順を改定するプロセスを整備します。
リスク及び機会に対処する活動のISMSへの統合と有効性評価(6.1.1 e)
6.1.1 d)で定めたプロセスを,ISMSの計画に落とし込んでいきます。例えば,ISMSの計画に,“年1回○月に,法令及び規制の改正状況を確認し,対応を必要とする改正があるときは,適用法令の確認プロセスに基づき規程および手順の見直しを実施する“ として組み込みます。
また,このプロセスが定められた通りに実施されているかなどの有効性の評価手順を定めます。この有効性の評価手順は,「9.1 監視,測定,分析及び評価」で定めるプロセスに組み込むこととなります。
構築・運用のポイント
「6.1 リスク及び機会に対処する活動」は,ISMS全体のリスクについての規定です。その中で「6.1.1 一般」は,ISMSの意図した成果を達成するために,情報セキュリティに関連する固有のリスクだけではなく,マネジメントシステムのリスクを含むISMS全体のリスクを対象としている点に注意が必要です。
「6.1.1 一般」は,組織が,ISMSで解決する必要のある課題を解決するために,規格本文の箇条4〜10のプロセスを確実に動かすための仕組みづくりを求めているわけですが,あまりにも抽象的すぎて,具体的にどのような活動を実施すれば良いのかが理解しにくい要求事項です。逆の視点から見れば,具体的な要求事項が示されておらず,抽象的,一般的な要求事項であるため,形式的な要求事項であるとの解釈もできます。
「6.1.1 一般」への適合性については,ISMSの計画を策定した際に,ISMSが形骸化しない仕組みになっているか,要求事項に適合し継続的改善のための機会が得られているかをチェックすることで確認すると良いでしょう。