SysAdmin's Group システム管理者の会
日本最大規模の
システム管理者のネットワーク

運用ノウハウを学ぶ

システム管理に関わるベーシック情報やトレンドをご案内します!

JMC ISO20000 第11回 「ISO20000の規格について(11)」を掲載
2008年10月15日 15:39

「ISO20000の規格について(11)」
 

今回は、「6.6 情報セキュリティ管理」について解説します。

この情報セキュリティ管理は、ISO20000の要求事項の中で
大きな落とし穴になる可能性がある要求事項です。

というのは、この情報セキュリティ管理では、要求事項の題名通り、
ITサービスの情報セキュリティの管理が要求されています。
概要としては、サービスへのアクセスに関するISMSの確立の要求です。

具体的に、どのようなことが要求されているか、簡単にまとめると以下になります。

(1) セキュリティ基本方針の策定と公開
(2) セキュリティ基本方針で定めた内容の実施
(3) サービスとシステムのアクセスに関するリスクマネジメント
(4) リスクマネジメントから必要とされるセキュリティコントロールの文書化
(5) 変更に伴う影響評価
(6) 外部組織に関する取り決め
(7) セキュリティインシデントの管理
(8) セキュリティインシデントの分析
(9) 情報セキュリティ管理の改善方法

上記の内容をみるとISO27001を取得している企業であれば、どこの企業でも確実に実施している事項です。

注意点を一つ挙げるとすれば、ISO20000の適用範囲と一致しているかどうかです。

一方で、ISO27001を取得されていない企業にとっては、非常に手間の掛かる要求事項になります。
まず要求事項の中で、特に作業に時間が掛かるのが、「(3) サービスとシステムのアクセスに関する
リスクマネジメント」と「(4) リスクマネジメントから必要とされるセキュリティコントロールの文書化」です。
これは、上記でも記述したように、サービスにおけるISMSの確立を意味し、
大げさに解釈すると2つのマネジメントシステムの構築が必要になるからです。

次回は、「(3) サービスとシステムのアクセスに関するリスクマネジメント」と
「(4) リスクマネジメントから必要とされるセキュリティコントロールの文書化」に、
どのような対策が必要になるかをご説明したいと思います。
ITSM/ITIL
JMC ISO20000

ITサービスマネジメントシステムの国際規格「ISO20000」を解説するコラム。 要求事項ごとに考慮すべきポイントを交え、スムーズに構築を進めるノウハウをご紹介します。

記事一覧へ
筆者紹介

株式会社JMCリスクソリューションズ 吉岡努

  • 新着Q&A
  • 最新の回答
回答数:22019年11月12日

システム管理者認定講座<全コース共通>試験のみ受験希望の方はこちら

動画で見るセミナー
動画で見るセミナー

毎年恒例となった「システム管理者の会」の年に一度の大イベントとなる「システム管理者感謝の日イベント」の模様をお届けします。 今年のテーマは、「集まれ若いチカラ!システム管理者のための夏期講習!!」です。

個人情報保護方針
運営者につい て
利用規約
サイトマップ