ISO/IEC 27014: 情報セキュリティ, サイバーセキュリティ, プライバシー情報保護―情報セキュリティのガバナンス
はじめに
成功した組織の中心には常に優れたガバナンスがありました。「ガバナンス governance」という言葉は、古代ギリシャ語で「舵を取る」という意味の kubernáo を語源とすると考えられています。経営陣 (governinng body) の第一の責任は、定義した目的を達成する途上で、外部の世界と自分たちの業務が提示する問題、リスク、課題、機会について自分たちの組織をナビゲートすることですから、「舵を取る」というこの言葉はうってつけと言えるでしょう。
優れたガバナンスは、組織の最上級のレベル (トップマネジメント) に期待されるだけでなく、組織が行うすべてのことに反映されるべきでしょう。ISO/IEC 27014は、優れたガバナンスと、ISO 27001:2013の要求事項で定義されている効果的な情報セキュリティマネジメントの間を取り持つものです。ISO/IEC 27014は、情報セキュリティガバナンスの概念、目的及びプロセスに関するガイダンスを提供しており、組織は、自分たちが運用する情報セキュリティ関連のプロセスを評価、指示、監視、伝達するためにこれを用いることができます。
攻撃手法や技術の急速な進歩、それに伴う規制当局からの圧力の増大に対応しようとする組織にとって、情報セキュリティは非常の重要な課題です。組織の情報セキュリティ対策が失敗した場合、組織とその関係者に多くの悪影響が及ぶ可能性があります。その中には信頼の低下も含まれます。
情報セキュリティのガバナンスとは、情報セキュリティマネジメントシステムの効果的な実施を確実にするために、リソースを割り当て/指示することにより、信頼の維持に努めることです。これにより、情報セキュリティに関する指示が順守され、経営陣に情報セキュリティ関連の活動に関する信頼性の高い適切な報告が提供されていることを保証します。そして、組織の戦略的目標に影響を及ぼす可能性のある情報セキュリティに関する情報を提供することにより、組織が戦略目標に関する意思決定をする際に役立ちます。また、組織の情報セキュリティ戦略が、組織の全体的な目標と一致することを確実にします。
ISO/IEC 27014:2020 とは?
ISO/IEC 27014:2020 は、2013年の初版に代わるものとして、2020年12月に発行されました。
このガイダンス文書の意図する対象者に変更はありません。
- 組織の経営陣及びトップマネジメント
- ISO/IEC 27001に基づく情報セキュリティマネジメントシステム (ISMS) の評価、指示、監視に責任をもつ人
- ISO/IEC 27001に基づくISMS の範囲外にあっても、ガバナンスの範囲内で行われる情報セキュリティマネジメントに責任を負う人
しかし、第2版では、最新版の ISO/IEC 27001 (2013年版) との整合性を図り、ガバナンス活動に関するISO/IEC 27001の要求事項を説明しています。また、情報セキュリティのガバナンスの目標とプロセスについては、箇条7.2と7.3に記載されています。
ISO/IEC 27014では、組織、組織の一部、または複数の組織を意味する「事業体 entity」と、事業の構造によっては、トップマネジメントを意味する「governing body 経営陣」という2つの定義が導入されています。
情報セキュリティ (IS) ガバナンス目標
ISO/IEC 27014:2020では、6つのISガバナンス目標が特定されています。そして、目標が実現することを確実にするために、これらの目標に対して4つのISガバナンスプロセスが適用されます。
成功の指標 – 情報セキュリティ目標は包括的であり、事業に統合されている。情報セキュリティが事業体レベルで取り扱われ、事業体の優先順位を考慮した意思決定が行われている。物理的及び論理的セキュリティに関する活動が緊密に連携している。情報セキュリティに対する責任と説明責任が、事業体の活動の全範囲にわたって確立されている。
目標 2: リスクに基づくアプローチを用いて意思決定を行う
成功の指標 – 順守義務 (compliance obligations) が満たされている。リスクに基づき、事業体独自の意思決定がなされている。情報セキュリティリスクマネジメントが、組織体の戦略的リスクマネジメントと統合されており、事業体全体で一貫したリスクマネジメントのアプローチが取られている。情報リスクを効果的にマネジメントするのに十分な資源が利用可能である。
目標 3: 取得の方向性を定める
成功の指標 – 投資、購入、合併、新技術の採用、外部委託の取り決め、外部のサプライヤーとの契約などを含むが、これらに限定されない、新たな活動を行う際に、情報セキュリティリスクが適切に評価されている。
情報セキュリティが、プロジェクトマネジメント、調達、財務支出、法規制順守、戦略的リスクマネジメントを含む既存の事業体のプロセスと統合されている。トップマネジメントは、組織の目標に基づき、情報セキュリティ戦略を確立し、事業体の要求事項と組織の情報セキュリティ要求事項の整合性を確保する。
目標 4: 内部及び外部の要求事項への適合性を確実にする
成功の指標 – 事業体の情報セキュリティ方針及び慣行が、法令、規制、契約上の要求事項及び社内のコミットメントを含む、利害関係者の要求事項に適合している。トップマネジメントは、例えば、独立したセキュリティ監査を委託するなどにより、セキュリティ活動が社内外の要求事項を十分に満たしているという保証を得る。
目標 5: セキュリティを重視する文化を育てる
成功の指標 – ISMSのさまざまな利害関係者間で、調和がとれ、方向性が一致している。トップマネジメントは、情報セキュリティの首尾一貫した方向性を達成するために、利害関係者の活動の調整を要求し、促進し、支援している。セキュリティ教育、訓練、意識向上のプログラムが実施されている証拠がある。情報セキュリティの責任が、スタッフ及びその他の関係者の役割に統合され、だれもが自分の責任を引き受けることでISMS の成功に貢献している。
目標 6: セキュリティのパフォーマンスが現在及び将来の事業体の要求事項を満たしていることを確実にする
成功の指標 – 情報を保護するために事業体が取ったアプローチが、合意されたレベルの情報セキュリティを提供している。セキュリティのパフォーマンスは、事業体の現在及び将来の情報セキュリティ要求事項を満たすために監視され、維持されている。トップマネジメントは、監視し、監査し、改善の機会を特定するためのパフォーマンス測定を実施している。情報セキュリティのパフォーマンスは、事業体全体のパフォーマンスとリンクしている。
情報セキュリティのガバナンスプロセス
ISO/IEC 27014:2020では、4つのガバナンスプロセスの運用に関して、経営陣とトップマネジメント、双方の責任を規定しています。
現在のプロセス及び計画された変更に基づいて、現在の目標達成及び予測される目標達成を検討し、将来の戦略的目標を実現するために調整が必要な個所を決定するガバナンスプロセスになっているか。
プロセス 2: 「指示する Direct」
経営陣が事業体の目標及び戦略を支持するガバナンスプロセスになっているか。指示には、資源提供レベルの変更、資源の配分、活動の優先順位付け、及び、方針・重大なリスクの受容・リスク管理計画の承認などが含まれる。
プロセス 3: 「監視する Monitor」
経営陣が、戦略的目標の達成度を評価することができるガバナンスプロセスがあるか。
プロセス 4: 「伝達する Communicate」
経営陣と利害関係者が、特定のニーズに応じた情報を交換する双方向のガバナンスプロセスがあるか。
Plan、Do、Check、Act と類似のサイクルで評価、指示、監視を行い、経営陣とトップマネジメントを結び付け、必要に応じて/必要なときにコミュニケーションを取りながら、関係者に情報セキュリティの現状を知らせます。
ISO/IEC 27001:2013のガバナンス関連要求事項とISO/IEC 27014:2020の対照表
ISO/IEC 27001では、「ガバナンス」という用語は使われていませんが、ガバナンス活動となる多くの要求事項を義務付けています。
下の表は、ISO/IEC 27001:2013の箇条4から10までのすべての箇条にガバナンスの側面があることを示しています。この表では、ISO/IEC 27001:2013のどの箇条が、ISO/IEC 27014:2020のガバナンス目標と関連しているかを2列目に示しています。
| ISO/IEC 27001:2013 | ISO/IEC 27014:2020 |
|---|---|
| 箇条 4.1は、組織が何を目指しているかを明確にすることを要求している。 | ガバナンス目標 1、3 及び 4 に関連 |
| 箇条 4.2は、組織が密接に関連する利害関係派の関連するISMS 要求事項を特定することを要求している。 | ガバナンス目標 4 に関連 |
| 箇条 5は、リーダーシップとコミットメント、情報セキュリティ方針の設定、ISMSの役割の定義、必要な資源の提供を要求している。 | ガバナンス目標 1 及び 3 に関連 |
| 箇条 6は、リスク及び機会の特定と情報セキュリティリスク対応を含むリスクマネジメントのアプローチ、また情報セキュリティ目標の設定を要求している。 | ガバナンス目標 2 に関連 |
| 箇条 7 は、要員が情報セキュリティ義務を遂行する力量をもつことを要求している | ガバナンス目標 5 に関連 |
| 箇条 8 は、組織が、外部委託の取り決めを含む、組織のISMSを計画し、実施し、管理することを要求している。 | ガバナンス目標 4 及び 6 に関連 |
| 箇条 9 は、ISMSの内部監査におけるすべての関連する側面の監視と報告、必要な変更を含めたISMSの運用上の有効性に関するトップマネジメントと経営陣のレビューと決定を要求している。 | ガバナンス目標 6 に関連 |
| 箇条 10 は、不適合の特定と対応、継続的改善の機会の特定と、それらの機会への対応を要求している。 | ガバナンス目標 4 に関連 |
まとめ
ISO/IEC 27014は、経営陣は、事業体の目標達成を支援するようなISMSの設計を要求する必要があると、繰り返し、結論付けています。
事業体の目標は、ISMSの目標と同一であってもよいし、2組の一連の目標が一貫し、互いに矛盾していなければ、同一である必要はありません。
また、経営陣は、リスクマネジメントを含め、事業体の一般的な方針やプロセスと整合性のあるISMSの設計を要求すべきでしょう。
◎情報セキュリティ関連では以下の記事もあります
>>ISO/IEC 27002 の改訂と ISO/IEC 27001 - 今後の変更点
>>ISO/IEC TS 27022:2021 – 情報技術 – 情報セキュリティマネジメントプロセスに関するガイダンス
>>ISO/IEC 27035 - 情報セキュリティインシデントが発生したとき、組織は何をすべきか?
>>ISO/IEC 27005:2018 情報技術-セキュリティ技術-情報セキュリティリスクマネジメント
>>ISO/IEC 27017:2015 – 情報技術 – ISO/IEC 27002に基づくクラウドサービスのための情報セキュリティ管理策の実践の規範
