箇条8では,箇条6で計画したリスクアセスメントの実施と決定した管理策およびリスク対応計画の実施のほか,情報セキュリティ目的を達成するための計画の実施とそれらのプロセスを実施した記録を文書化し,保持すること,計画やプロセスの変更管理および外部委託したプロセスの管理を要求しています。
この記事では,「8.3 情報セキュリティリスク対応」について,規格要求事項の解説と併せて,ISMSの構築・運用や文書化の際のポイントを具体例や文書例を挙げながら解説します。
規格要求事項の解説
「8.3 情報セキュリティリスク対応」では,「6.1.3 情報セキュリティリスク対応」で定めたリスク対応プロセスを実施し,そのリスク対応結果について,文書化した情報の保持が要求されています。
規格要求事項
8.3 情報セキュリティリスク対応
組織は,情報セキュリティリスク対応計画を実施しなければならない。 組織は,情報セキュリティリスク対応結果の文書化した情報を保持しなければならない。
ISO 27001:2013(JIS Q 27001:2014)
8.3と6.1.3も,同じタイトルですね。
これも8.2と6.1.2の関係と同じで,箇条6で定めたリスク対応プロセスを,箇条8で実際に運用するんだよ。
情報セキュリティリスク対応計画
「8.2 情報セキュリティリスクアセスメント」の結果を考慮して決定されたリスク対応の選択肢を実施するための計画を作成し、計画に沿ってリスク対応を実施します。
構築・運用のポイント
リスクアセスメントの結果、対策の必要のあるリスクへの対応策が複数ある場合には,リスクが顕在化したときの重大性や緊急度に応じて、リスク対応に優先順位を付け,優先順位の高いものから実施します。
費用対効果と緊急度に応じたリスク対応
優先順が高くても費用面で即時の対応が困難なリスクや費用対効果が見えにくいリスクへは,暫定的なリスク対応の実施やリスクの監視体制を強化したうえで,予算化し,計画的にリスク対応を実施することが望まれます。
リスク対応結果の文書化
規格は,リスク対応の結果について,文書化した情報を保持することを求めています。
これは,計画が実行されたかが記録され,それらの文書化した情報を保持しているかを求めているにすぎません。
リスク対応結果の有効性については,「9 パフォーマンス評価」で確認することになります。