ISO/IEC27001規格4.2.1 d)項は,“リスクを,次のように特定する。”として,“ISMSの適用範囲の中にある資産の特定”を要求しています。資産の特定とは,「資産→脅威・脆弱性→リスクの特定(即ち,資産のリスク特性)→セキュリティコントロール策の構築・運用」のための手段です。
規格は,リスクアセスメントに対する取組については,組織に委ねていること,また,この項の目的は,リスクを特定することであることから,この項の解釈は,資産のライフサイクルを「通して」、脅威・ぜい弱性・影響を把握し、特定することを求めています。
ここで「通して」とは,資産を「静的」に捉えるだけでは、即ち,その存在に着目するだけでは,多くの脅威・ぜい弱性・影響が想像できずリスクの把握に支障を来します。
これは「資産の取得・移動・複製・廃棄」等、資産が移動する時や、管理ルール・管理体制・管理者の変更によるマネジメント方法の変化に起因してリスクは発生しやすいので、「動的」な状態での脅威・ぜい弱性・影響をしっかり把握することが重要です。
資産は,“ISMSの適用範囲の中にある”ものを把握することは当然ですが,先に確立した“リスクを評価するにあたっての基軸(4.2.1 b)4)→4.2.1C)”に沿って特定していきますので,人が動く、ネットワークが繋がっているなど境界が区切ることが困難な状態では、QMSにおける「顧客所有物」などは、大事に管理しなければならない資産として対象とすることで、顧客や取引先の信頼を得ることができます。
ISMSという概念が乏しかった時代は、個々の資産を対象にリスクアセスメントを行っていましたが、膨大な工数がかかることから、現在は、リスクアセスメントはモデルとして実施しています。従って、資産の特性を整理して、同じ特性を持つものはグルーピングしリスクアセスメントを行うことで工数を減らすことができます。
しかし、例えば、ノートPCや外付HDDは複数ある中で一つでも紛失・盗難に遭うと情報漏えいや、組織の管理体制の問題点を指摘されます。 二重に資産目録への集約記述の必要はありませんが、他の方法や既存の管理台帳などで、すべての資産について「どこにあるか、管理責任者は誰か」は、明らかにしておくことが必要です。
リスクアセスメントの項でも述べますが、対象資産のライフサイクルをイメージしながら、具体的な表現で脅威・ぜい弱性・リスクを可視化することが重要です。詳細リスク分析手法を用いる場合は、その資産グループに関するリスクの軽減策である「管理策」に繋がりますので、この作業は手を抜かないようにしたいものです。
0 件のコメント:
コメントを投稿