箇条8では,箇条6で計画したリスクアセスメントの実施と決定した管理策およびリスク対応計画の実施のほか,情報セキュリティ目的を達成するための計画の実施とそれらのプロセスを実施した記録を文書化し,保持すること,計画やプロセスの変更管理および外部委託したプロセスの管理を要求しています。
この記事では,「8.1 運用の計画及び管理」について,規格要求事項の解説と併せて,ISMSの構築・運用や文書化の際のポイントを具体例や文書例を挙げながら解説します。
規格要求事項の解説
「8.1 運用の計画及び管理」では,「6.1 リスク及び機会に対処する活動」で決定した活動を実施するために必要なプロセスを計画して,実施,管理することと,「6.2 情報セキュリティ目的及びそれを達成するための計画策定」で決定した,情報セキュリティ目的を達成するための計画を実施することについて,外部委託したプロセスを含めて管理することを要求しています。
規格要求事項
8.1 運用の計画及び管理
組織は,情報セキュリティ要求事項を満たすため,及び6.1で決定した活動を実施するために必要なプロセスを計画し,実施し,かつ管理しなければならない。また,組織は,6.2で決定した情報セキュリティ目的を達成するための計画を実施しなければならない。
組織は,プロセスが計画通りに実施されたという確信をもつために必要な程度の,文書化した情報を保持しなければならない。
組織は,計画した変更を管理し,意図しない変更によって生じた結果をレビューし,必要に応じて,有害な影響を軽減する処置をとらなければならない。 組織は,外部委託したプロセスが決定され,かつ,管理されていることを確実にしなければならない。
ISO/IEC 27000:2013(JIS Q 27001:2014)
ISMSの運用って,具体的には,何をすればよいのですか?
箇条6で策定した各プロセスや、6.2で決定した情報セキュリティ目的を実現するために必要な活動の実施・運用について計画し,その計画に基づいてISMSを運用・管理するんだよ。これには,外部委託したプロセスに対する管理も含むんだ。
ISMS運用の計画および実施
これまで,箇条4でISMSの適用範囲を決定し,箇条5で情報セキュリティ方針や役割・責任を定め,箇条6では,情報セキュリティリスクアセスメントや情報セキュリティリスク対応の実施プロセスと情報セキュリティ目的の達成に向けた計画を策定したほか,箇条7では,ISMSの構築・運用に必要な資源を決定したうえで,実際にISMSを構築し運用していくために必要となる文書を作成してきました。
箇条8では,これまでに準備してきた箇条4から箇条7までのプロセスや成果物を使って,実際にISMSを運用するための計画を策定し、それらを導入・運用し,管理することを求めています。
構築・運用のポイント
規格では,リスクアセスメントとリスク対応のプロセスを確立してからリスクアセスメントとリスク対応を実施するように記述されていますが,実際のISMSの構築段階においては,リスクアセスメントプロセスの確立直後にリスクアセスメントを実施し,リスクアセスメントの実施と並行してリスク対応プロセスを確立するなど,順序が前後することがありますが,特に問題ありません。
同様に,ISMSのうんようが始まると,リスクアセスメントプロセスの見直し直後にリスクアセスメントを実施し,リスクアセスメントの実施と並行してリスク対応プロセスの見直しを実施しても問題ありません。
ISMS運用の計画と実行
規格は,リスクアセスメントの実施からリスク対応までの実施計画を作り,計画に沿って各プロセスを実施し,管理することともに,プロセスが計画通りに実施されたかについて確認できる記録を残すよう要求しています。
計画した各プロセスが,計画通りに実施できない場合には,計画の変更を管理し,その変更によって生じた結果をレビューし,何らかの影響が生じる場合には、必要に応じて,有害な影響を軽減する処置をとらなければなりません。
外部委託の管理
ISMSに関係する活動(ネットワーク管理,サーバー管理,書類廃棄など)を外部委託した場合は,委託した活動について,必要な情報セキュリティ要求事項を外部委託契約の中に含め,その遵守状況を管理・監督する必要があります。