東京都産業労働局 令和5年度中⼩企業サイバー
セキュリティ対策継続支援事業

文字サイズ

19-2-13. 第13章. ISMSの要求事項と構築(LV3. 網羅的アプローチ)

  • 13-1. 【LV.3 網羅的アプローチ】の概要
  • 13-2. 【LV.3 網羅的アプローチ】フレームワークを参考とした実施手順

章の目的

第13章では、情報セキュリティマネジメントシステム(ISMS)のフレームワークを用いて、体系的・網羅的にセキュリティ対策基準、実施手順を作成する網羅的アプローチについて理解することを目的とします。

主な達成目標

網羅的アプローチ手法を用いて、対策基準・実施手順を策定する方法を理解すること

主なキーワード

網羅的アプローチ、PDCAサイクル

要旨

13章の全体概要

網羅的アプローチは、ISMSなどのフレームワークを利用して、対策基準や実施手順を策定する方法です。時間はかかりますが、会社としてセキュリティを確保するにあたって高いレベルでのセキュリティ対策ができるでしょう。緊急性や即効性についてはクイックアプローチ、ベースラインアプローチが勝りますが、じっくりと対策を検討する余裕がある場合、網羅的アプローチを推奨します。

13-1. 【LV.3 網羅的アプローチ】の概要

LV.3 網羅的アプローチ
網羅的アプローチでは、フレームワークとしてISMSを用いて、体系的・網羅的にセキュリティ対策基準、実施手順を作成します。ISMSのフレームワークに沿うため、技術的対策といった一部の内容に限らず、運用や監査についても含めて対策基準、実施手順を策定します。ISMSにおけるPDCAサイクルを回すために重要となるドキュメントの作成方法や、実施すべき事項について焦点を当てて説明していきます。
網羅的アプローチのメリットは、ISMS要求事項の導入が可能なことです。デメリットは、時間とコストがかかることです。

ISMSの要求事項に関連するドキュメント作成は重要ですが、あくまで手段であり目的ではありません。ドキュメントの作成と維持が目的化してしまうと、ドキュメントが形骸化し、情報セキュリティ対策としての意味がほとんどなくなってしまう場合があります。ドキュメントを精細に作り込むことより、ISMSマネジメントプロセスを取り入れ、PDCAサイクルを回していくことが大切です。ISMSに取組みはじめたときには理解できていても、ドキュメントづくりをはじめるとドキュメント作成が目的になってしまうケースが多いため、注意が必要です。

13-2. 【LV.3 網羅的アプローチ】フレームワークを参考とした実施手順

ISMSは、PDCAサイクルに則って運用することとなります。ISMSにおけるPDCAサイクルを回すために重要となるドキュメントの作成方法や、実施すべき事項について焦点を当てて説明しています。
ISMSの要求事項を定めているISO/IEC 27001の1から3はそれぞれ「1.適用範囲」「2.引用規格」「3.用語及び定義」なので、実質的な要求事項は「4. 組織の状況」から「10. 改善」までの7項目となっています。

図82. ISMSのPDCAサイクル

4. 組織の状況

組織の内情や取り巻く状況、利害関係者のニーズを把握した上でISMSの適用範囲を決定することを要求している。

5. リーダーシップ

トップマネジメントが主導してISMSを構築することを要求している。(トップマネジメントが実施するべきことのまとめ)

6. 計画

ISMSの計画を立てる際の要求事項。

7. 支援

構成員の教育など、ISMS 構築にあたり組織が構成員に行うべきサポートを要求している。

8. 運用

ISMSを実行する際の要求事項。

9. パフォーマンス評価

適切なISMSが構築・運用できているか評価する際の要求事項。

10. 改善

ISMSの是正処置やリスク、改善の機会、ISMS認証の不適格があった場合の対処法。

訴求ポイント

章を通した気づき・学び

ISMSを用いる網羅的アプローチを実施することで、単にセキュリティ対策を検討するだけではなく、PDCAサイクルによってISMS自体を継続的に改善し、より自社に適した対策を検討できるようになります。

認識していただきたい実施概要

  • 「4. 組織の状況」から「10. 改善」までの7項目で必要なドキュメントの作成手順を理解すること。
  • ISMSマネジメントプロセスを取り込み、PDCAサイクルを回すこと。