第2回 ISMSの進め方(準備・計画〜実施編):いまさら聞けないISMS(3/3 ページ)
ISMS認証について、2013年の改訂内容を踏まえた流れを解説していきます。今回は取得までの流れの前半にあたる方針や体制の準備から対応実施について紹介します。
2.リスクアセスメントの実施
リスクアセスメントは、「情報の洗い出し」「情報の管理レベルの決定」「リスクアセスメントの実施」の流れで実施します。リスクアセスメントの第一段階として、認証対象部門にある情報の洗い出しを行います。
ただし、いきなり情報の洗い出しといわれても、担当者が作業をどのように進めたらよいか分からないことが多くあります。事務局側で一般的な情報の例などを記載したシートなどを用意し、それをベースに部門で加除してもらう形で進めるなどの工夫が必要です。この際、洗い出した情報を管理台帳の形にまとめると今後の作業に使用でき、手戻りが少なくなります。情報管理台帳には情報の名前・種類、情報の管理責任者、重要度、保管期限、管理方法、廃棄方法などを記載します。
次に、情報の管理レベルを決定します。管理レベルの決定方法としては、「機密性(Confidentiality)」「完全性(Integrity)」「可用性(Availability)」(それぞれの英単語の頭文字を取ってCIAと言います)の指標で評価を行い、情報の管理レベルを決定する方法があります。具体的には、CIAのそれぞれを3〜5程度でレベル付けし、それぞれのレベルの和や最大値を情報管理レベルとします。
情報の洗い出し、管理レベルの決定が終わった後は、リスクアセスメントを行います。ISMS認証基準にはリスクアセスメントの具体的な方法は指定されておらず、各組織に方法は任されています。よく利用されているアセスメント方法は、情報の価値の他に、脅威と脆弱性を見積り、それらの和や積をリスクレベルとする方法です。
3.アセスメント結果への対応実施
リスクアセスメントの結果からリスクが明らかになったら、どのように対処していくかを組織で検討します。
- リスクの管理者及び対応方針を決める
- それぞれの具体的な対応を検討する
- リスク対応計画を立案する
リスク対応計画が定まったら、計画に沿ってリスク対応を実施します。リスク対応が完了した後は、いよいよISMSの運用に入ります。次は「運用」と「内部監査の実施」について解説します。
関連記事
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.