Top / 6. 計画
HTML convert time: 0.009 sec.

6. 計画

Last-modified: 2017-01-03 (火) 19:04:15

ISO27001 > ISO27001:2013 > 4. 組織の状況 > 5. リーダーシップ > 6. 計画 > 7. 支援 > 8. 運用 > 9. パフォーマンス評価 > 10. 改善 > A.5 情報セキュリティのための方針群 > A.6 情報セキュリティのための組織 > A.7 人的資源のセキュリティ > A.8 資産の管理 > A.9 アクセス制御 > A.10 暗号 > A.11 物理的及び環境的セキュリティ > A.12 運用のセキュリティ > A.13 通信のセキュリティ > A.14 システムの取得、開発及び保守 > A.15 供給者関係 > A.16 情報セキュリティインシデント管理 > A.17 事業継続マネジメントにおける情報セキュリティの側面 > A.18 順守 > 情報セキュリティ用語

6.計画

情報セキュリティ方針の確立に関する部分となります。

「6.1 リスク及び機会への取り組み」

ISMS の計画を策定するときに、組織は、リスクだけでなく、「機会」も考慮することが求められるようになりました。

さらに、その対象として、「b ) 望ましくない影響を防止、又は低減する」が用意されており、これが、2005 年版の予防処置に対応する部分の 1 つになります。

<< リスクの定義 >>

 ISO/IEC27001:2013「6.1 リスク及び機会に対処する活動 」の「 6.1.1」では、「ISMSの計画を策定するとき、組織は、4.1に規定する課題及び4.2に規定する要求事項を考慮し、・・リスク及び機会を決定しなければならない」としています。

 一方、ISO/IEC27001:2005では、「リスクを特定するために、ISMSの適用範囲の中にある資産及びそれらの資産の管理責任者を特定し、それらの資産に対する脅威と脆弱性を特定し、・・資産に及ぼす影響を特定する」としています。
 このことは、ISO31000のリスクの定義では、「目的に対する不確かさの影響 」のことであり、「影響とは、期待されていることから、好ましい方向又は好ましくない方向に乖離すること」としています。
 「機会」が好ましい方向への乖離に対する処置の意味と解釈すると、リスクの中の「好ましい方向への乖離への対応」と「機会」はダブっている
ことになります。
 この「機会」をどのように解釈するかということよりも、リスクマネジメントにおける事業リスクを理解することが重要です。
 リスクの定義は、その分野に固有のリスクとして定義することもできますが、ISO31000の5.3.1を考慮して「4.1 組織及びその状況の理解」との整合を確保することが、リスクの重要なポイントとであると考えらます。

「6.1.2情報セキュリティリスクアセスメント」

全てが ISMS 固有の要求事項となります。
組織は、情報セキュリティのリスクアセスメントプロセスを定義しなければならない、とされています。

要求事項の d )情報セキュリティリスクの特定は、2005 年版の 箇条 4.2.1 d )に対応する部分ですが、2005 年版と比較して、資産、脅威、脆弱性の用語が削除されています。
これはISO31000 との整合性を考慮したためと考えられます。

「6.1.3 情報セキュリティリスク対応」

リスク対応の要求事項であり、2005 年版と大きな相違はありません。
ただし、リスクの「受容」「回避」「移転」の要求事項が削除されています。
組織は、情報セキュリティリスク対応プロセスを適用しなければならないとされています。

また、組織は、情報セキュリティリスク対応プロセスに関する文書化された情報を保持しなければならない、とされています。

「6.2 情報セキュリティ目的及びそれを達成するための計画 策定」

関連する部門及び階層において、情報セキュリティ目的を確立することと、情報セキュリティ目的には、a )情報セキュリティ方針との整合から、j )結果の評価方法までの事項を満たすことが要求事項になっています。







情報セキュリティマネジメントシステム コンサルティング

2013年版への移行支援コンサルティング、2013年版での新規認証取得支援のコンサルティングを行っております。

御見積りは信頼と実績のタテックスまでお問合せください。

   お問合せは、ここをクリック→お問合せ