「ISO20000の規格について（12）」

今回は、「6.6 情報セキュリティ管理」について解説します。

今回のコラムは、前回のコラムの終わりでご説明したように、
「6.6 情報セキュリティ管理」で要求される
「（3） サービスとシステムのアクセスに関するリスクマネジメント」と
「（4） リスクマネジメントから必要とされるセキュリティコントロールの文書化」
についてお話したいと思います。

■「（3） サービスとシステムのアクセスに関するリスクマネジメント」
これは、適用範囲のサービスが第3者による不正アクセスによって運用状態に負荷が掛かってしまったり、
停止してしまったりしないようアクセスに関するリスク管理が要求されています。

この部分の実現については、まず、自社が提供するサービスでどんなリスクがあるのかを
特定する必要があります。自社でのリスクがわからなければ、管理もできません。
次に、リスクが特定されたら、そのリスクに対してどのような対応や対策を取るか検討し、決定します。
そして、その対応や対策を実施し、企業としてリスクが（受容も含め）ない状態を維持することが必要です。
これがリスクマネジメントです。

ISO27001のリスクの洗い出しでは、適用範囲に関わる情報資産を全て洗い出し、
情報資産に対して価値基準を付け分類し、考えられる脅威からリスク値を算出して、リスクを洗い出します。

これに対しISO20000では、ISO27001のように価値基準を付けたり、「算出可能」や「比較可能」といった
要求はありませんが、適用範囲のサービスでのリスクを特定し、管理する方法を定める必要があります。

■「（4） リスクマネジメントから必要とされるセキュリティコントロールの文書化」
これは、洗い出されたリスクに対して対策を取り、リスクがない状態を維持するために文書化することが
要求されています。
簡単にいえば、情報セキュリティマニュアルを作成することです。

これら2つの要求事項を見ると、ISMSとほとんど違いがありません。

この項目を、ISO27001と同じ方法で実現すると、アクセスに関するISO27001を構築することになり、
負荷（2つの規格の構築と運用）が倍増します。

ISO20000では、ISO27001ほど、リスクアセスメントとリスクマネジメントについて詳細な要求がありませんので、
ISO27001とまったく同じ方法で実現する必要はありません。
（ただし、情報セキュリティ体制も高いレベルでしっかりと管理したい場合には、
ISO27001ベースのリスクアセスメントで実現されることをお勧めします）

「では、どうしたらいいのか？」
私がお勧めするのは、「ISO/IEC20000-2：2005」です。「ISO/IEC20000-2：2005」に、
リスクアセスメントからリスクマネジメントまでのガイドが記述されています。
このガイドの内容を参考に、リスクマネジメントの方法を構築すればよいと思います。
ただ、ISMSをまったく知らない方には、このガイドは、さっぱりわからない状態になってしまうので、
巷に出ているISMSの参考資料、そしてISMSの経験や知識を持たれている方からの意見も取り入れて
構築することをお勧めします。

次回は、「7．関係プロセス」に入ります。