箇条8では,箇条6で計画したリスクアセスメントの実施と決定した管理策およびリスク対応計画の実施のほか,情報セキュリティ目的を達成するための計画の実施とそれらのプロセスを実施した記録を文書化し,保持すること,計画やプロセスの変更管理および外部委託したプロセスの管理を要求しています。
この記事では,「8.2 情報セキュリティリスクアセスメント」について,規格要求事項の解説と併せて,ISMSの構築・運用や文書化の際のポイントを具体例や文書例を挙げながら解説します。
規格要求事項の解説
「8.2 情報セキュリティリスクアセスメント」では,「6.1.2 情報セキュリティリスクアセスメント」で定めたリスクアセスメントプロセスを実施し,そのリスクアセスメント結果について,文書化した情報の保持が要求されています。
規格要求事項
8.2 情報セキュリティリスクアセスメント
組織は,あらかじめ定めた間隔で,又は重大な変更が提案されたか若しくは重大な変化が生じた場合に,6.1.2 a) で確立した基準を考慮して,情報セキュリティリスクアセスメントを実施しなければならない。
組織は,情報セキュリティリスクアセスメント結果の文書化した情報を保持しなければならない。
ISO 27001:2013(JIS Q 27001:2014)
8.2と6.1.2は,同じタイトルですね。
箇条8では,箇条6で定めたリスクアセスメントプロセスを実際に運用するんだよ。
情報セキュリティリスクアセスメントの実施
規格は,リスクアセスメントについて,定期的(あらかじめ定められた間隔)に実施するほか、組織に重大な変化が生じる場合には,変化前または変化後にリスクアセスメントを実施することを求めています。
構築・運用のポイント
組織の内外の環境は,常に変化しているため,リスクも変動することになることから,定期的にリスクアセスメントを実施して,受容基準を超えるリスクがないかを適時に確認する必要があります。
組織の重大な変化
また,組織に重大な変化が生じる場合には,変化によってリスクが生じないかについて,その変化の前,または,変化の後にリスクアセスメントを実施する必要があります。
組織の重大な変化には,以下のようなものがあります。
- 新規事業への進出や開始
- 既存事業からの撤退や廃止
- 大幅な組織変更
- 拠点の新規設置,移転,退去,大幅なレイアウト変更
- 組織の合併,分割
- 情報システムの大幅な変更
例:会社が移転する場合
例えば,会社が移転する場合には,移転前,移転時,移転後のそれぞれの場面で生じるリスクについてアセスメントを実施し,必要に応じてリスク対応を行うことになります。
移転前であれば,移転先の建物の物理セキュリティや環境面のリスクについて,移転時であれば,荷物移送中の情報資産の紛失リスクについて,移転後であれば,セキュリティ区画として設定したエリアが実際にセキュアなのかなど,各場面でのリスクアセスメントを実施して,受容基準を超えるリスクが検出された場合には,受容基準を下回るようにリスク対応を計画し,それぞれの場面で計画を実施することとなります。
リスクアセスメント結果の文書化
規格は,リスクアセスメント結果について,文書化した情報を保持することを求めています。
組織の規模や運用状況に応じて,トップマネジメントへの報告用に,報告書として別途文書を作成することもありますが,リスク評価項目を設けた情報資産管理台帳やリスクアセスメントシートがあれば,それを文書化した情報として保持しておくことで,規格の要求に適合します。