ISMS 規格改定 (3) 新規格でリスクアセスメントはどう変わるのか?

こんにちは。

クララオンラインの吉村です。

 

ちょいちょい連載を続けている ISMS規格改定 の話です。

 

まずはご報告として、今期も無事に JIS Q 27001:2006(ISO/IEC27001:2005) の認証審査に合格しました。

嬉しいのは前期より 観察事項が少なかったことです。

前期から ISMS 委員として活動している私としては、今期のISMS 活動で PDCA サイクルがきちんと回せたことで喜びもひとしおです。

 

イエイ  😎 

image010

 

 

しかし、 ISMS 認証審査後にも、 ISMS 活動は続きます。

PDCAサイクルを回して組織の情報セキュリティリスクを減らしていくことがISMSの目的であり、

審査もそのサイクルが機能しているかをチェックされます。

 

 

 

そこにプラスして ・ ・ ・

 

 

 

今期は規格改定があるので、例年よりも忙しくなりますね!

 

改めてですが、2014/10/31 現在、 東京都で ISMS 認証を取得している組織 を調べたところ、

クララオンラインと同じく JIS Q 27001:2006(ISO/IEC27001:2005) の認証を取得している組織の数は、1970
新規格である JIS Q 27001:2014(ISO/IEC27001:2013) の認証を取得している組織の数は、64

でした。

 

新規格の移行期間が 2015/09/30 まで(この日までに認証済みになっている必要がある)なので、

あと11カ月間で 1900 の組織が規格改定の対応することになります。

※東京都だけで。

 

日本全国の関係各位のみなさま、頑張りましょう!

 

クララオンラインでは既に来期のISMS活動のスケジュールを計画済みで、動き出しています。

2014年内に規格改定の準備を終わらせて、2015年からは新規格での社内セキュリティルールを運用していくことが目標です。

 

 

 

 

リスクアセスメントの変更点

では、今日は規格改定のポイントの一つである、「リスクアセスメントの変更点」について説明します。

組織によってリスクアセスメントのプロセスは異なるかもしれないですが、おそらく、JIS Q 27001:2006(ISO/IEC27001:2005)での一般的なリスクアセスメントは、

  1. 情報資産の洗い出し
  2. 情報資産の評価
  3. リスクアセスメントの実施
  4. リスク対応計画の作成と実施
  5. 管理策の有効性を確認

という流れになるかなと思います。

 

ISMSに関わった人でしたら、どんなフローか分かるかもしれないですが、流れを簡単に説明すると、

リスクアセスメント

こんな感じでしょうか。

 

 

それでは、新規格のリスクアセスメントとどうなるのか?

 

結論から言うと、

 

 

変わらないです。

 

 

変わらない良さってありますよね。

今回はまさにそれです。

 

私は、セミナーや書籍で新規格の解釈を勉強しているのですが、

 

これまで情報資産の洗い出し(情報資産台帳の作成)と評価に時間と手間が掛かっていたのですが、新規格ではこれを求められていません。

情報資産を調べ上げて、そこからリスクを導き出すというプロセスが必要がないのです。

 

むしろ新規格では、

経営陣 「うちの会社の事業計画を考えたら、これがリスクだ!全社的にこのリスクをなくそう!」

社員一同「おー!」

といったやり方を勧めています。

 

 

が、どこのセミナーで話を聞いても、情報資産台帳の重要性を話されていて、既存のリスクアセスメントのやり方にプラスして、

経営陣が求める事業計画に即したものであることが望ましいとしています。

つまり、新規格は 大きな枠と小さな枠、マクロとミクロと両方の視点から情報セキュリティリスクをなくそう!といった感じですね。

まさに組織として、 ISMS をビジネスの強化に繋げていくことが求められています。

 

では、今回はここまでです。

 

引き続き、規格改定の対応を頑張りましょう!

 

 

 

 

 

Share on LinkedIn
LINEで送る
Pocket

吉村

吉村

クララオンライン グローバルビジネスストラテジー部でマーケティング担当として働いています。 クラウド関連技術と中国関連の情報をお届けしてます。 たまに DJ とかします。日本語RAPが大好きです。