第119回月例研究会(ISO/IEC27001:2005の最新動向)のQ&A

 2006年1月30日(月)に開催された標記研究会には、大変多くの皆様にご参加頂き、誠にありがとうございました。
 さて、講演終了後、参加者から講演のテーマ(ISO/IEC27001:2005の最新動向)に関する具体的なご質問が寄せられ、これに対し、講演者(日本情報処理開発協会情報セキュリティ部 ISMS制度推進室長 高取様)からご回答を頂きました。
他の参加者の皆様、会員の皆様等にも大変参考になると思われますので、講演者の方にご了解を得て、以下にそのQ&Aを公開致します。

 講演者の方には、お忙しいところ講演終了後にも関らずご回答頂き、誠にありがとうございました。

 尚、これをもちまして、本研究会のQ&Aを終了と致します。

日本システム監査人協会
第119回月例研究会担当
理事 仲 厚吉

Q1. 情報セキュリティ計画
情報セキュリティ計画が「改善」のところで突然出てきます。
これは何を意味するものでしょうか? 計画であれば、当初の計画はいつ、どのように立てられるものでしょうか?企業が期首に立てる事業計画の一部としてセキュリティ面の計画を立てるという理解でも正しいでしょうか?
(回答)
確かに計画段階では、セキュリティ計画について何も触れておらず突然出てくるのは理解できないと思いますが、私としてはセキュリティ計画は、計画段階、実施段階、あるいはその両方の段階で策定された計画で、チェック活動の結果を受けて更新が必要となったものすべてが含まれていると理解しています。

Q2. ISMS基本方針と情報セキュリティ基本方針
ISMS基本方針と情報セキュリティ基本方針の区別がよくわかりません。
なぜ2つの方針が必要なのかを含め、2つの方針の具体例を交えた説明をしていただきたくお願いします。
(回答)
  ISMS基本方針は、情報セキュリティ基本方針のさらに上位の方針を示すもので、企業全体のマネジメントシステムの視点からISMSをどのように位置づけるかの方針を示したものである。情報セキュリティ基本方針は、事業上の要求事項や目的、関連する法令及び規制に対する取組みなどを示したものである。

Q3. 文書化について
 「選択した管理策から溯って、当該管理策とリスクアセスメントおよびリスク対応のプロセスの結果までの関連を実証できること。溯ってISMS基本方針および目的までの関連を実証できること。」
上記で言う実証というのは何処まで要求されているのでしょうか?
手順に従って説明できるというのでは不十分でしょうか?
具体例をご提示いただけるとありがたいです。
(回答)
  ここでの要求は、手順に従って説明できるだけでなく、文書はその関連性が追跡可能であり、また記録結果が再現可能であることを示す必要がある。

Q4. 27004など、ガイドラインの発行予定
27004など、ガイドラインの発行予定はどのようになっているで しょうか? 27004につきましては、2006年1月にドラフト、5月のスペインの会議で議論の予定となっておりますが、それ以外につきまして情報がございましたら、お教えいただきたくお願いします。
(回答)
  27004はISMSの有効性を測定するためのガイドであり、2005年4月のウィーン会議で第1版のドラフトの審議を開始しているが、2006年1月のドラフト版は第3版となる。スペイン会議では、27001の要求事項にある管理策の有効性について測定するためのガイダンスとして位置づけるかどうかがポイントとなるであろう。

Q5. 文書化について
 27001は17799の欠点を整理したものであることは、わかりました。
 1点、文書化に関連して質問があります。
「文書は、だれにでも使いやすくせよ。」
「役員会議事録も文書化の一環として管理せよ。」などは改正かと思われます。
 ただし、会場からの質問に対し、「『セキュリティ計画』でもただちに『セキュリティ計画書』などを想定してはいない」といわれましたが、審査現場では、被審査側には、計画書が要求されることは、ISMSの審査員のあり方から、あり得ます。 一部の改正点を除き、リスクアセスメント関連など文書化の強化は、悪しきかっての ISO9000時代を想起させます。この反省だけは、ISMSの進歩であると考えていましたがご意見を拝聴したいと思います。
(回答)
  Q1の回答をご参照下さい。これは私の見解ですが、セキュリティ計画は、例えば管理策、手順、訓練、インシデント管理など、セキュリティを実装するために組織が策定するあらゆる計画のことと思われる。被審査側に計画書が要求されるとすれば、要求事項の解釈の違いと思われる。また、リスクアセスメントの方法を記述する文書が明示的になったが、これはリスクアセスメントの合理性を説明するためにも必要な要求事項と考える。さらに、重要なことは、これらの文書がISMSの基本方針及び目的まで遡れることである。

以上

(2006年3月1日)