JIPDECがISMSユーザーズガイドを改訂
07 11/26
日本情報処理開発機構(JIPDEC)は、同協会が認定している情報セキュリティマネージメントシステム(ISMS)適合性評価制度について、従来のISMS認証基準Ver2.0から「JISQ27001:2006(ISO/IEC27001:2005)」に移行したことを機に、「ISMSユーザーズガイド―リスクマネジメント編」の改訂を行った。ISMSにおけるリスクマネージメントの理解を深めるとともに、現行の認証基準からスムーズに移行できるように、ISMSの構築、運用について明記している。
ISMSは、セキュリティの脅威に対して企業のリスク管理の観点から組織に合う手法を構築して様々なセキュリティ対策を運用する仕組みを指し、企業などのセキュリティレベルを維持、向上できるようにしたもの。
ISMS適合性評価制度は、こうした企業の取組みを第三者が評価することで正しく運用されているかを判定するための制度として、2002年に開始した。現在は2400社近くが認証を取得している。
今回、今月中にISMSの認証基準Ver2.0がJIS27001に移行することに伴い、従来からのスムーズな移行を促すために、ユーザーズガイドのリスクマネジメント編の改訂を行ったもの。
改訂版では、現在最も利用しやすいとされる「リスクアセスメント手法」を紹介している。利用企業は、これをベースにその企業に合った形にカスタマイズして使用することを指摘している。
例えば、「リスク値」を求めるには「予想損失額」に「発生頻度」を掛けて算出するが、この予想損失額や発生頻度をどのように見るかで本来のリスク管理とかい離した結果が出るため、改訂版では対象の資産の価値や重要度をレベル分けして、これがどのような脅威を引き起こすかなどを相対的に評価する方法を紹介している。
また、リスク対応のステップを「ISMSの運用範囲」「基本方針の文書化」「リスクアセスメント」「リスク対応」「リスク受容」というように大分し、これらを10段階に分けて進める考え方を示した。リスクマネージメントの運用においては「プラン・ドゥ・チェック・アクション(PDCA)」の重要性を指摘するとともに解説を行っている。「改訂版が取組みへの一助になってほしい」としている。
日本情報処理開発機構(JIPDEC) ISMSユーザーズガイド-リスクマネジメント編-