ISO 27002 vs. COBIT –

セキュリティ情報計画

Mónica María Toro Garcíaが、情報セキュリティ計画の有効性について調査しました。

ビジネス界との交流が増えるにつれ、競争力を保つために役立つ新たな技術を導入するニーズがますます増加しています。現在、企業は大量の情報を作り出し、保存するためにテクノロジーに依存しています。しかし、テクノロジーや暴露が増加するにつれ、ITシステムへのあらゆる種類の不正攻撃の対象となるリスクがますます高まる可能性があり、組織内の安全及びセキュリティが危険にさらされるかもしれません。

組織が脅威に対して資産を保護し、機密性及び完全性を保護するための対策を確立すべきであると決定した時、情報セキュリティが重要となります。

このような保護を備えるためには、組織はそのような対策を考えるだけに留まらず、情報セキュリティマネジメントシステム(ISMS)を通じてセキュリティ情報計画を開発しなければなりません。組織は情報資産、IT及び関連するリスクのセキュリティを確実にするためにすべきことは何かを規定する際の支援となる計画を運営管理しなければなりません。これは、ISO 27002又はCOBITのような体系的な方法を提供しているベストプラクティス又は枠組みに記述されています。

情報セキュリティ計画とは?

情報セキュリティ計画とは組織の情報セキュリティ設計のことであり、活動の組織的及び機能的基準や方針を設定し、IT保証プロセスにおける各参加者の責任を規定し、情報資産のセキュリティに影響を与える脅威及び脆弱性を予防、検出及びこれらに対応できるセーフガード、対抗策、手順を規定するものです。

計画を開発するためには、保護の必要性を正確に評価するために、一連の事前活動を行わなければなりません。

  • 重要なビジネスサービス及びプロセスなど、保護が必要な情報資産を分類する
  • 資産及び脆弱性または弱点を暴露してしまうかもしれない内部及び外部の脅威を特定する
  • 脅威の発生可能性及び情報資産の脆弱性を計算し、リスクを特定及び評価する
  • リスク対応の手段を確立し、セーフガード及び対抗策を削減するために適用するのが望ましい

セーフガード及び対抗策とは?

脆弱性(一つ以上の脅威がつけ込むことができる、資産または資産グループが持つ弱点‐ISO/IEC 13335-1:2004)が存在する場合、組織は達成しなければならないことを規定したセーフガード及び対抗策を確立しなければなりません。これらは管理目標としてより知られています。

問題: 情報セキュリティについての認識の欠如

解決策:

  1. 事業上の要求事項、法律及び規制に従って、経営層に情報セキュリティのガイダンス及びサポートを 提供する(ISO 27002 – 5.1)
  2. 経営層に目的及び方向性を伝達する (COBIT – PO6).

脅威(システム又は組織に被害をもたらす可能性のある、潜在的な望まれないインシデント。詳しくはISO/IEC 13335-1:2004参照)がある場合、組織は対抗策(管理目標を達成するために適用される措置)を確立しなければなりません。これは、活動、プロセス、サービス又はシステムが期待される結果を満たしているかどうかを検証、分析、測定するためのもので、管理策としても知られています。

なぜ ISO 27002 及びCOBITなのか?

概して、これらの規格は以下のように認識されています。

  • IT保証のための効果的な措置として国際的に設計、試験されたツールである
  • 組織が個々の状況に基づいて、ニーズに従って調整することを可能にする
  • 規制当局に対し、措置及び効果的な対応を可能にする

特に、COBITの枠組みは一般的な経営層向けに作成され、スポンサー及びIT責任者がITガバナンス及び情報セキュリティ計画の設計のための基礎を管理及び運営することを可能にしています。戦略的ガイドラインにおける運営管理及びセキュリティ計画構築に必要な資源の承認及び提供とともに、情報及びセキュリティは最も重要な資産なのです。

ISO 27002は情報セキュリティのためのベストプラクティス、つまりセキュリティの運営管理に必要な要素、セキュリティ計画を構築するためのガイドライン、組織内でセキュリティを実施するために必要な管理策及び情報セキュリティを危険にさらす可能性のあるリスクを最小化するための重要な措置を網羅しています。

つまり、ISO 27002及びCOBITはベストプラクティスなビジネスに容易に調整可能とするためだけでなく、組織戦略の観点からも情報セキュリティ計画を開発するために必要な要素を提供しており、IT及びセキュリティ要求事項を理解するのに役立ちます。これらの規格はまた、リスクを運営管理するための方針及び手順を設計し、実施し、管理策を運用する際にも役立ち、組織内の核となる資産として情報保護に付加価値を与えるものです。

著者について

Mónica María Toro García氏はIRCA ISMS審査員であり、テクノロジー審査の運営管理を行っています。同氏はBSIの主任審査員でもあり、リスク及び情報システム管理に登録されています。