SysAdmin's Group システム管理者の会
日本最大規模の
システム管理者のネットワーク

運用ノウハウを学ぶ

システム管理に関わるベーシック情報やトレンドをご案内します!

JMC ISO20000 第12回 「ISO20000の規格について(12)」を掲載
2008年11月05日 15:40

「ISO20000の規格について(12)」

今回は、「6.6 情報セキュリティ管理」について解説します。

今回のコラムは、前回のコラムの終わりでご説明したように、
「6.6 情報セキュリティ管理」で要求される
「(3) サービスとシステムのアクセスに関するリスクマネジメント」と
「(4) リスクマネジメントから必要とされるセキュリティコントロールの文書化」
についてお話したいと思います。

■「(3) サービスとシステムのアクセスに関するリスクマネジメント」
これは、適用範囲のサービスが第3者による不正アクセスによって運用状態に負荷が掛かってしまったり、
停止してしまったりしないようアクセスに関するリスク管理が要求されています。

この部分の実現については、まず、自社が提供するサービスでどんなリスクがあるのかを
特定する必要があります。自社でのリスクがわからなければ、管理もできません。
次に、リスクが特定されたら、そのリスクに対してどのような対応や対策を取るか検討し、決定します。
そして、その対応や対策を実施し、企業としてリスクが(受容も含め)ない状態を維持することが必要です。
これがリスクマネジメントです。

ISO27001のリスクの洗い出しでは、適用範囲に関わる情報資産を全て洗い出し、
情報資産に対して価値基準を付け分類し、考えられる脅威からリスク値を算出して、リスクを洗い出します。

これに対しISO20000では、ISO27001のように価値基準を付けたり、「算出可能」や「比較可能」といった
要求はありませんが、適用範囲のサービスでのリスクを特定し、管理する方法を定める必要があります。

■「(4) リスクマネジメントから必要とされるセキュリティコントロールの文書化」
これは、洗い出されたリスクに対して対策を取り、リスクがない状態を維持するために文書化することが
要求されています。
簡単にいえば、情報セキュリティマニュアルを作成することです。

これら2つの要求事項を見ると、ISMSとほとんど違いがありません。

この項目を、ISO27001と同じ方法で実現すると、アクセスに関するISO27001を構築することになり、
負荷(2つの規格の構築と運用)が倍増します。

ISO20000では、ISO27001ほど、リスクアセスメントとリスクマネジメントについて詳細な要求がありませんので、
ISO27001とまったく同じ方法で実現する必要はありません。
(ただし、情報セキュリティ体制も高いレベルでしっかりと管理したい場合には、
ISO27001ベースのリスクアセスメントで実現されることをお勧めします)

「では、どうしたらいいのか?」
私がお勧めするのは、「ISO/IEC20000-2:2005」です。「ISO/IEC20000-2:2005」に、
リスクアセスメントからリスクマネジメントまでのガイドが記述されています。
このガイドの内容を参考に、リスクマネジメントの方法を構築すればよいと思います。
ただ、ISMSをまったく知らない方には、このガイドは、さっぱりわからない状態になってしまうので、
巷に出ているISMSの参考資料、そしてISMSの経験や知識を持たれている方からの意見も取り入れて
構築することをお勧めします。

次回は、「7.関係プロセス」に入ります。
ITSM/ITIL
JMC ISO20000

ITサービスマネジメントシステムの国際規格「ISO20000」を解説するコラム。 要求事項ごとに考慮すべきポイントを交え、スムーズに構築を進めるノウハウをご紹介します。

記事一覧へ
筆者紹介

株式会社JMCリスクソリューションズ 吉岡努

  • 新着Q&A
  • 最新の回答
回答数:22019年11月12日

システム管理者認定講座<全コース共通>試験のみ受験希望の方はこちら

動画で見るセミナー
動画で見るセミナー

2021年7月 第15回システム管理者の会 感謝の日イベントの開会のご挨拶の様子を掲載いたします。

個人情報保護方針
運営者につい て
利用規約
サイトマップ