ISO/IEC 27002:2013
管理策の選択についての留意点
- スタッフが管理策の必要性を理解しない場合やそれが文化的に受け入れられないと考える場合、管理策は時間の経過とともに無効なものとなります。
- 管理策は、事業の残留リスクを受容可能レベルまで落とすことを達成しつつ、使いやすさが最適のものを選択することが必要です。使いにくい管理策をユーザは、できる限り、その管理策を敬遠・無視しようとすることになり有効性を阻害します。組織内のアクセス管理が複雑であると、ユーザはこれに代わる認可されていないアクセス方法を見つけ出そうとすることが多くなります。
- 一日24時間、週7日間運用しつつ、バックアップを実施する必要性があるといった運用上の制約は、最初から設計に組み込まれていない限り、複雑で経費のかかる管理策の導入につながる可能性があります。
- 法令及び規制順守によって、データの保護及び財務監査を含めた一定の種類の管理策が義務付けられることもあれば、暗号化など、管理策の採用が禁止されることもあります。
ISO/IEC 27005 情報セキュリティリスクマネジメント 附属書Fより引用しました
管理策は他社がやっているからと「右へならえ」する必要はありません
それは各社事業内容や業務プロセス・扱っている情報・従業員の資質などがことなるからですただし、他社の管理策を参考にして実装することは有効な手段です
まず大切なこと
「起きては困ること」を明確にリスクアセスメントを実施して
「起きては困ること」が起こらないようにするための適切な管理策を選択することが重要です
なんのためにやっているのか?その必要性・目的を従業員や関係者が理解することも重要です
ここでは、ISO/IEC 27002情報セキュリティ管理策実践のための手引きに基づいて、
「管理目的」・「管理策」「実施の手引き」「関連情報」の解説
「監査・審査の視点」「実装方法」「実装事例」「文書・様式の見本」などを提供しています
リスクは常に変化しています
脅威・ぜい弱性・起こりやすさ・結果は、何の前触れもなく突然変化することがあります。
そのため、こうした変化を発見するために絶えざるモニタリングが必要で、管理策の有効性についてもレビューが必要です。
リスクモニタリングの活動を定期的に繰り返し、選択したリスク対応選択肢や管理策を周期的に見直すことが必要です
サンプル文書を基に解説します
