|
ISO27001/ISMSについて |
■ISO27001/ISMSとは
■ISMS構築について
-はじめに
-ISMSの適用範囲
-資産目録
-リスクアセスメント
・リスク対応
・適用宣言書
・リスク対応計画
・有効性測定
・インシデント管理
・文書管理・記録管理
・教育・訓練、意識向上、力量
・内部監査
・マネジメントレビュー
・是正処置・予防処置
■管理策について
|
|
|
ISMSの構築について(ISO/IEC27001/JISQ27001) 2/10 |
ISMSの適用範囲
ISMS構築の第一ステップは、適用範囲の定義です。
ISMSの「適用範囲」は、全社一括でなくても、施設や事業の単位で設定できます。事業継続上、保護しなければならない重要な情報は何かを考慮し、効果的な情報セキュリティの観点から範囲を決定します。
ISO/IEC27001:2005/JIS Q 27001:2006規格要求事項(以下、「規格要求事項」とします。) では「事業・組織・所在地・資産・技術の特徴の見地から、ISMSの適用範囲及び境界を定義する。」とあります。
具体的には、次の様な観点から、それぞれの範囲/境界を決定します。特に"境界"を見定めることが大切です。
| 1、事業的範囲 |
 |
対象事業(業務)の内容を明確にします。
情報の活用範囲などを見極める必要があります。 |
|
| 2、組織的範囲 |
|
対象とする組織を明確にします。
同じ社内の人であっても、適用範囲外の人は、外部の人として扱うなどの配慮が必要となります。 |
|
| 3、物理的範囲 |
|
対象とする社屋、施設、部屋などを明確にします。
扉や壁、あるいはパーテンションなどを境界として領域を決めます。 |
|
| 4、ネットワーク的範囲 |
|
対象とするネットワークの範囲を明確にします。
ルーター等のネットワーク上の情報を流入出を制御可能な機器を境界として領域を決めます。 |
|
| 5、情報資産の管理範囲 |
|
上記の範囲外であっても、事業として管理すべき情報資産を明らかにします。
例えば、事業に必要な自社の情報資産を、外部(組織、場所)に設置あるいは保管している場合、物理的、ネットワーク的に範囲外であっても、適用範囲外として放置するわけには行きません。 |
|
事業の視点から、担当部門(組織的範囲)、事業を行う場所(物理的範囲)、利用するネットワークの範囲などを決定する場合や、社屋や施設、部屋等の物理的視点から、その中で行う事業、組織、ネットワークの範囲を決定するなど、組織の事情によって異なりますが、これらを包括した形で適用範囲を決定します。
一般に、事業内容、施設名称(本社、支店、営業所等)などで公表されます。
こうして、ISMSの適用範囲を明確にできれば、これを「適用範囲定義書」として文書化します。
ISMSの適用範囲の文書化は規格での要求事項となっています。
さらに、(財)日本情報処理開発協会(以下、JIPEDCとする)の公開資料「外部委託におけるISMS適合性評価制度の活用方法」においては、委託先の選定にISMS認証を活用する際には、”適用範囲を定義した文巻(以下、「適用範囲定義書」と呼ぶ)”を確認することが有効である。としています。
名称は、必ずしも同じである必要はありませんが、混乱を避けるためには、名称、記載方法などについて、同資料を参考にすると良いでしょう。
また、「適用範囲定義書」は、委託元からの要求に応じて、提出する可能性があるということを認識し、社屋の詳細レイアウトやネットワーク詳細構成図まで書き込んでしまわないようにする必要があります。詳細を示した資料とは紐付け(関連付け)しておくと良いでしょう。
適用範囲を設定するにあたって、「できればこの範囲としたい。」との思惑に対して、その”境界”が明確でないことも良くあります。例えば、扉等の仕切りの無い部屋の情報システム部門だけを適用範囲にするなどといった場合です。
その場合は、”境界”が無いことのリスクを考慮して、必要な”境界”を講じる必要があります。
<ポイント>
コンサルティングでお伺いしたときに、「ここに何らかの対策が必要だと思うのですが、ISMS認証取得のためには、どのような対策をしなければならないですか?」と言ったようなことを良く聞かれます。
そんなとき、「リスクアセスメントを行った上で、どんな対策が必要かを考えましょう。」と答えます。
ISMSでは、セキュリティ対策に関して「何をしなければならない。」というものは有りません。「このようなリスクがあったから、この様な対策を講じた。」というプロセスが大切なのです。 |
|
|
|
