「ISO20000の規格について（11）」

今回は、「6.6 情報セキュリティ管理」について解説します。

この情報セキュリティ管理は、ISO20000の要求事項の中で
大きな落とし穴になる可能性がある要求事項です。

というのは、この情報セキュリティ管理では、要求事項の題名通り、
ITサービスの情報セキュリティの管理が要求されています。
概要としては、サービスへのアクセスに関するISMSの確立の要求です。

具体的に、どのようなことが要求されているか、簡単にまとめると以下になります。

（1）　セキュリティ基本方針の策定と公開
（2）　セキュリティ基本方針で定めた内容の実施
（3）　サービスとシステムのアクセスに関するリスクマネジメント
（4）　リスクマネジメントから必要とされるセキュリティコントロールの文書化
（5）　変更に伴う影響評価
（6）　外部組織に関する取り決め
（7）　セキュリティインシデントの管理
（8）　セキュリティインシデントの分析
（9）　情報セキュリティ管理の改善方法

上記の内容をみるとISO27001を取得している企業であれば、どこの企業でも確実に実施している事項です。

注意点を一つ挙げるとすれば、ISO20000の適用範囲と一致しているかどうかです。

一方で、ISO27001を取得されていない企業にとっては、非常に手間の掛かる要求事項になります。
まず要求事項の中で、特に作業に時間が掛かるのが、「（3） サービスとシステムのアクセスに関する
リスクマネジメント」と「（4） リスクマネジメントから必要とされるセキュリティコントロールの文書化」です。
これは、上記でも記述したように、サービスにおけるISMSの確立を意味し、
大げさに解釈すると2つのマネジメントシステムの構築が必要になるからです。

次回は、「（3） サービスとシステムのアクセスに関するリスクマネジメント」と
「（4） リスクマネジメントから必要とされるセキュリティコントロールの文書化」に、
どのような対策が必要になるかをご説明したいと思います。