付録.適用宣言書(例) .....11 付録. JIS Q 27001 附属書A 管理目的..... 14 . 以上のことから、適用宣言書には以下の内容を含むことが求められます。 選択した管理目的と管理策、そしてそれらを選択した理由。 附属書a(※)に規定された管理策の中で適用除外としたものと、その理由。 ※セキュリティ基本方針などを明記した書類 適用宣言書とは、「その組織のismsに関連して適用する管理目的及び 管理策を記述した文書」という※定義があります。 つまり、自社における、情報セキュリティ管理策の適用状況を外部に 宣言する文書 …
JIP-ISMS117-2.0 1/18 1 はじめに 1.1 本書の目的 ... また、入札条件等でISMSの認証取得を条件にしているケースなどの例や、ISMS制度の概要と特徴、 ISMS 制度と他の情報セキュリティ制度との関連等については、下記URL … 取引先の立場で考えてみれば「新しい攻撃が見つかったけど、貴方の会社は大丈夫?」と考えるのが普通ですよね。その時、「大丈夫です。〇〇〇という対策を採っています(採る予定です)」と応えられなければ、取引を前に不安を感じてしまうでしょう。トランザクションの保護は、オンラインシステムを一度でもマトモに構築したことがある者にとっては基本的な要件です。マイナンバーカード発行システムではこの基本要件さえも理解出来ていないことが露呈されたのです。しかし、現行のISO27001が発表されたのは2013年ですから、現在までに3年が経っています。その間、新しい攻撃や脆弱性が無かったはずはありません。最初の構築段階で「管理策の追加」は有ってしかるべき事項なのです。管理策は“一度決めたら終わり”ではありません。世の中の状況は変わるからです。特にサイバーセキュリティの分野では毎日と言っていいほど、新しい攻撃や脆弱性が見つかっていますので、それらの対応が必要となります。ISO27001では、リスク対応のための「管理策」をまとめた「適用宣言書」というものを作成することが求められています。ところがこの適用宣言書、きちんと運用されていないところが少なくない...というのが現状です。管理策の考え方への誤解が、適用宣言書、延いてはISO27001の有効性を非常に低下させているのです。オンラインシステムに於いては、処理の中断ということが起こり得ます。回線の切断、停電、プログラムのバグ等、様々な理由が考えられます。ですが、処理の途中で止まってしまったら、データはどうなるでしょう。処理途中のデータ構成のまま、残ってしまう可能性がありますね。どこかの企業で「情報漏えい事件」が発生したとします。世間の注目を浴びますね。世間はどのような行動をとるでしょうか。漏れた情報をどう管理していたかを調べますよね。当然です。そして、他にも様々な事を調べ始めるでしょう。そうならないために、途中で止まってしまったら、それまでの処理を無しとして、一旦元に戻る仕組みを作っておきます。これがトランザクションの保護です。問題が発生したら、企業(組織)の存続に関わるような情報資産をまずは明確にし、問題発生率を下げるための策を決めます。これが本来の管理策なのです。本コラムで何度か解説しているように、ISMSは“情報を漏らさない”ための仕組みではありません。企業(組織)が永続的発展をするために“信頼を確保し続ける”ための仕組みです。2013年以降に話題となった上記問題が原因となった情報セキュリティインシデントは、一体どのような管理策で対応を行っていたのでしょうか。情報セキュリティ分野で事業を行う企業(組織)であれば、管理策の変更や追加は、常に行われ続けるものです。何年も適用宣言書の版が変わっていないのであれば、それは“有効なISMS運用をしていない会社”と宣言しているも同然なのです。とはいえ、100%守り切る策は存在しません。ですので、この管理策は“ここまでやっていてダメだったならしょうがない”と世間に思ってもらえるレベルのことをやります。最後に管理策の内容についてですが、これに関しても“そもそも論”であり「ISO27001附属書Aの各項目の意図を理解していますか?」というお話です。この時「え?そんなこともしてなかったの、この会社。」と思われるような事柄がもし見つかってしまったら、事態は一層炎上し、信頼が損なわれてしまいます。このようなことにならない為に、ISO27001の付属書Aは、“このくらいの管理策は決めておいた方がいいですよ”という提案を記しているリストなのです。メルマガ登録で、下記内容の「情報漏洩セキュリティ対策ハンドブック」プレゼント例えば、記憶に新しいところで「マイナンバーカード発行システム」がトラブルを起こしました。この点に気が付いていないISMS認証企業が実に多いことが大問題です。正しくISMS運用を行っている企業であれば、このご時世、レビュー時の年一度程度は適用宣言書が改版されていて然るべきと言えます。※誤解の無いように書いておきますが、審査員は附属書Aの内容を全て理解することは実は求められていません。ただ、理解出来ないものがあるなら、技術専門家の意見を聴くように規定されています。担当組織は、“中継サーバのバグ”との発表を行いましたが、本当の原因は、附属書A.14.1.3の「アプリケーションサービスのトランザクションの保護」が出来ていなかったためです。今回は日本のISMSが有効に機能しない最大の要因(と私個人が思う)、「管理策の考え方」について解説します。まずは、リスクアセスメントで“守らなきゃいけない”とした情報資産が、世間が納得できるレベルで管理されていることが最優先なのです。まずはリスク対応のために、どんな管理策を行うべきかを検討します。...しかし多くの場合、ここで間違えてしまうことがほとんどです。ここでも、“信頼を与えること”がISMSの目的ということを忘れてはいけません。ISMSを運用する側も、ISMSを評価する側も、管理策と適用宣言書の意義を正しく理解し、評価するようにしてください。それが国内ISMSの有効活用の大きな一歩となります。しかし実際は、管理策の変更や追加を行えていない企業(組織)が多いのです。決定した管理策を附属書Aに示す管理策と比較し、必要な管理策が見落とされていないことを検証するこのように、ISMSの管理策及び適用宣言書を有効に使用するには、「正しい手順」と「正しい理解」が必要です。逆に言えば、正しい手順と正しい理解で取り組めば、技術的セキュリティレベルが格段に上がるということです。しかし附属書Aだけを対応しても、企業(組織)に必要な管理策が不足してしまっている可能性も高いので注意が必要です。そのためには、新しい攻撃や脆弱性が見つかった際には、「自分たちのシステムは大丈夫なのか」といったリスクアセスメントを実施し、ケースに応じて管理策の変更や追加が必要となってきます。しかし、ISMS取得企業の担当者や、コンサルタント、又はISMS審査員ですら、この内容を理解していない者も存在します。このような状況では正しいISMS運用など望むべくもありません。CyberSecurity.com All Rights Reserved.
このように、ismsの管理策及び適用宣言書を有効に使用するには、「正しい手順」と「正しい理解」が必要です。逆に言えば、正しい手順と正しい理解で取り組めば、技術的セキュリティレベルが格段に上がるということです。