箇条6では,組織のリスクマネジメントと整合性のあるISMSを構築するために,目的の達成を阻むリスクや目的を達成するための機会(契機)を明確にするほか,リスクアセスメントやリスク対応を実施するためのプロセスを確立することを要求しています。
この記事では,「6.2 情報セキュリティ目的及びそれを達成するための計画策定」について,規格要求事項の解説と併せて,ISMSの構築・運用や文書化の際のポイントを具体例や文書例を挙げながら解説します。
規格要求事項の解説
「6.2 情報セキュリティ目的及びそれを達成するための計画策定」では,箇条5.1で確立した情報セキュリティ目的を,適用範囲ないの関連する部門や階層に展開し,組織全体の情報セキュリティ目的を確立し,情報セキュリティ目的を達成するための計画を作成することが要求されています。
規格要求事項
6.2 情報セキュリティ目的及びそれを達成するための計画策定
組織は,関連する部門及び階層において,情報セキュリティ目的を確立しなければならない。
情報セキュリティ目的は,次の事項を満たさなければならない。
a) 情報セキュリティ方針と整合している。
b) (実行可能な場合)測定可能である。
c) 適用される情報セキュリティ要求事項,並びにリスクアセスメント及びリスク対応の結果を考慮に入れる。
d) 伝達する。
e) 必要に応じて,更新する。組織は,情報セキュリティ目的に関する文書化した情報を保持しなければならない。
ISO/IEC 27000:2013(JIS Q 27001:2014)
組織は,情報セキュリティ目的をどのように達成するかについて計画するとき,次の事項を決定しなければならない。
f) 実施事項
g) 必要な資源
h) 責任者
i) 達成期限
j) 結果の評価方法
情報セキュリティ目的って何ですか?
情報セキュリティ目的とは,情報セキュリティ方針と整合性のとれた,「ISMSの意図した成果」の達成度を判定する指標のひとつなんだよ。可能な場合には,測定可能な情報セキュリティ目的を設定するんだ。
情報セキュリティ目的の要件
情報セキュリティ目的を確立する際には,a)~e)の要件を満たす必要があります。
情報セキュリティ方針と整合している(6.2 a)
情報セキュリティ目的は,情報セキュリティ方針と整合していることが求められています。
(実行可能な場合)測定可能である(6.2 b)
情報セキュリティ目的の達成度合いを評価するために,測定可能な目的の確立が求められています。
適用される情報セキュリティ要求事項,並びにリスクアセスメント及びリスク対応の結果を考慮に入れる(6.2 c)
リスクアセスメントやリスク対応計画の実施は,情報セキュリティ目的を達成するために実施する活動であるため,これらの結果を考慮に入れいることが求められています。
伝達する(6.2 d)
情報セキュリティ目的の達成のための諸活動を実施する,組織の適用範囲の構成員に情報セキュリティ目的を伝達し,共有することが求められています。
必要に応じて,更新する(6.2 e)
情報セキュリティ目的は,組織が達成したい最終的な目的でも良いし,達成可能なレベルの目的でも良く,達成したい最終的な目的を設定した場合には,定期的に(例えば,年1回)目的に対する達成度合いを評価し,目的を達成するための目標を更新することや,達成可能なレベルの目的を設定した場合には,達成後に一段高いレベルの目的を設定するなどして,必要に応じて更新することが求めらています。
情報セキュリティ目的を達成するための計画
情報セキュリティ目的を確立したら,その目的をどのようにして達成するかの計画を策定します。策定する計画には,以下の項目が含まれていることが求められています。
- 実施事項
- 必要な資源
- 責任者
- 達成期限
- 結果の評価方法
構築・運用のポイント
「6.2 情報セキュリティ目的及びそれを達成するための計画策定」では,情報セキュリティ目的を確立し,目的を達成するための計画を策定することが求められていますが,目的の確立と計画策定のポイントについて解説していきます。
情報セキュリティ目的の構造
情報セキュリティ目的は,組織の規模が小さい場合には,組織全体の情報セキュリティ目的を単独で確立することで足りますが,組織の規模が大きい場合には,トップマネジメントが組織の最高位の情報セキュリティ目的を設定したうえで,適用範囲の各部門および階層の特徴に合わせた目的を設定し,全体として組織の目的を達成できるように確立します。このとき,下位の目的が,上位の目的達成に貢献するように設計する必要があります。
情報セキュリティ目的に関する文書化した情報
「6.2 情報セキュリティ目的及びそれを達成するための計画策定」では,情報セキュリティ目的に関する文書化した情報の保持が求められています。この文書化要求に,情報セキュリティ目的を確立するプロセスの文書化までは含まれていないと思いますが,以下の文書例に示すような「情報セキュリティ目的管理表」を作成し,記録として保存しておきましょう。
情報セキュリティ目的の達成計画
情報セキュリティ目的の達成計画を策定する場合には,前述した「情報セキュリティ目的管理表」に,規格が要求する「実施事項」,「必要な資源」,「責任者」,「達成期限」,「結果の評価方法」の5つの項目を必ず記載しましょう。
文書例では,部門の情報セキュリティ目的に対して,実施事項をはじめ各項目に必要事項を記載して,この「情報セキュリティ目的管理表」の作成をもって情報セキュリティ目的の達成計画を策定したこととしています。なお,目的の達成状況を記録し保存しておくために「評価結果」の欄を設けてあります。目的を設定した年度初めから年度末にかけて,マルウエア感染によるインシデントが発生していなければ,『目的達成』という評価結果になります。
また,必要に応じて「6.1.3 リスク対応計画」や「8.1 運用の計画」,「9.2 監査プログラムの計画」を含めることになる場合がありますが,含める場合には,実施事項に取り込んでしまえばよいでしょう。