ISMSにおけるリスクマネジメント †
JIS Q 27001:2006によれば、情報セキュリティを実施するためにISMSを構築し、運用していくためにはISMSにリスクマネジメントを適用していくことを要求している。その際、次のPDCAを実施する。特に斜線部のところがリスクアセスメントやリスク対応に該当するものである。
- Plan:ISMSの確立
- ISMSの適用と境界の定義
- ISMS基本方針の定義
- リスクアセスメントに対する組織の取り組み方の定義
- リスクの特定
- リスクの分析と評価
- リスク対応の選択肢の特定と評価
- リスク対応のための管理目的と管理策の選択
- 残留リスクの承認
- 適用宣言書の作成
- ISMSの導入と運用の許可
- Do:ISMSの導入および運用
- リスク対応計画の策定
- リスク対応計画の実施
- リスク対応のための管理目的と管理策の実施
- 管理策の有効性の測定方法の定義
- 教育および訓練の実施
- ISMSの運用の管理
- ISMSの経営資源の管理
- セキュリティインシデントに対応するための手順および管理策の実施
- Check:ISMSの監視およびレビュー
- 監視およびレビューの手順および管理策の実施
- ISMSの有効性のレビュー
- 管理策の有効性のレビュー
- リスクアセスメントのレビュー
- ISMSの内部監査
- ISMSのマネジメントレビューの実施
- セキュリティ計画の更新
- ISMSの有効性またはパフォーマンスに関係する活動および事象の記録リスク対応のための管理目的と管理策の選択
- Act:ISMSの維持および改善
- 改善策の導入
- 是正処置および予防処置
- 処置および改善策の通知
- 目的の確実な達成
参考文献 †