【9.1 監視,測定,分析及び評価】情報セキュリティパフォーマンスとISMSの有効性を評価しよう!

箇条9では,情報セキュリティパフォーマンスとISMSの有効性を評価することを要求しています。

この記事では,「9.1 監視,測定,分析及び評価」について,規格要求事項の解説と併せて,ISMSの構築・運用や文書化の際のポイントを具体例や文書例を挙げながら解説します。

規格要求事項の解説

「9.1 監視,測定,分析及び評価」では,「8 運用」による構築・運用について,情報セキュリティパフォーマンスとISMSの有効性を評価することと,監視・測定の結果の証拠として,文書化した情報の保持が要求されています。

規格要求事項

9.1 監視,測定,分析及び評価

組織は,情報セキュリティパフォーマンス及びISMSの有効性を評価しなければならない。

組織は,次の事項を決定しなければならない。
a) 必要とされる監視及び測定の対象。これには,情報セキュリティプロセス及び管理策を含む。
b) 該当する場合には,必ず,妥当な結果を確実にするための,監視,測定,分析及び評価の方法
 注記 選定した方法は,妥当と考えられる,比較可能で再現可能な結果を生み出すことが望ましい。
c) 監視及び測定の実施時期
d) 監視及び測定の実施者
e) 監視及び測定の結果の,分析及び評価の時期
f) 監視及び測定の結果の,分析及び評価の実施者

組織は,監視及び測定の結果の証拠として,適切な文書化した情報を保持しなければならない。

ISO 27001:2013(JIS Q 27001:2014)
ミナライさん

情報セキュリティパフォーマンスって、情報セキュリティの性能という意味ですか?

規格の”パフォーマンス”は,日常的に高い低いで表されるそれとは意味合いが少し違うんだ。用語の定義もしっかり確認しておこう。

マスター

情報セキュリティパフォーマンスとISMSの有効性評価

規格は,情報セキュリティパフォーマンスとISMSの有効性を評価するために,監視・測定および分析・評価に関する事項について定めることを求めています。

必要とされる監視・測定の対象【9.1 a)】

情報セキュリティパフォーマンスとISMSの有効性を評価するための,監視・測定する対象を定めます。

監視,測定,分析,評価の方法 【9.1 b)】

監視・測定する対象の分析・評価の手順を定めます。この手順には,9.1 c) ~ 9.1 f) の事項が含まれます。

監視・測定の実施時期 【9.1 c)】

毎月○日,毎月第1月曜日など,監視・測定を実施する時期を定めます。

監視・測定の実施者 【9.1 d)】

誰が,監視・測定するのかを定めます。

監視・測定の結果の分析・評価の時期 【9.1 e)】

監視・測定した結果を分析・評価する時期を定めます。

監視・測定の結果の分析・評価の実施者【9.1 f)】

誰が,監視・測定した結果を分析・評価するのかを定めます。

構築・運用のポイント

「9.1 監視,測定,分析及び評価」では,情報セキュリティパフォーマンスとISMSの有効性についての評価を実施することと、そのための監視,測定,分析,評価の対象と方法を定めることを求めています。

評価に関する用語および定義

”パフォーマンス” や ”有効性” といった用語がどのような意味で使用されているのかに留意する必要があります。

2.59 パフォーマンス(performance)
 測定可能な結果

2.24 有効性(effectiveness)
 計画した活動を実行し,計画した結果を達成した程度

2.52 監視(monitoring)
 システム,プロセス又は活動の状況を明確にすること

2.48 測定(measurement)
 値を決定するプロセス

ISO 27000:2013(JIS Q 27000:2014)

パフォーマンス

この「測定可能な結果」が,何の結果であるかまでは定義されていませんが,情報セキュリティに関する一連の活動を実施した結果であると考えることができます。すなわち,情報セキュリティパフォーマンス評価とは,「情報セキュリティに関連する諸活動を実施した,測定可能な結果を評価する」ということができます。

有効性

ISMSにおける「計画した活動の実行」とは,リスク対応計画を含むISMSの構築・運用の一連の活動の実行であり,「計画した結果を達成した程度」とは,情報セキュリティ目的の達成度と考えることができます。

有効性の評価の例として,情報セキュリティ目的を,情報セキュリティインシデントの発生防止としたとき、「計画した活動は実施しなかったが,インシデントは発生しなかった」や「計画した活動は実施したが,インシデントが発生した」は,ISMSが有効でないと判定することができます。

監視

監視とは,活動の状況を明確にすることと定義されていますが,状況を明確にするために,点検や監督のほか,注意深い観察が必要な場合もあるとされます。

実際の運用の場面では,業務において情報セキュリティ上配慮すべき業務手順や遵守事項をチェックリストにまとめ,チェックリストに基づいて毎月1回自己点検することや,管理職が情報セキュリティ対策の実施状況を点検票に従って確認することなどが挙げられます。

測定

測定では,何を測定するかを定義する必要があります。また、パフォーマンス評価の際に有用とされる「実施度」や「達成度」を指標として測定する手法がよく用いられます。

例えば,情報セキュリティ教育を実施において,情報セキュリティ目的を「従業員の力量の向上」とします。その際のパフォーマンス指標として,実施度を受講対象者数に対する実際の受講者数(受講率),達成度を理解度テストの出題数に対する正答数(正答率)を用いるといった具合です。

パフォーマンスとISMS有効性の評価結果の文書化

規格は,監視および測定の結果の証拠として,文書化した情報を保持することを求めています。

-9 パフォーマンス評価
-, , ,