ISO/IEC TS 27022:2021 – 情報技術 – 情報セキュリティマネジメントプロセスに関するガイダンス
2021年3月11日、ISO/IEC 27001 に準拠する情報セキュリティマネジメントシステムへのプロセスアプローチの導入を支援する、ISO/IEC TS 27022:2021 – Information technology – Guidance on information security management system processes (情報技術 – 情報セキュリティマネジメントプロセスに関するガイダンス) が発行されました。
はじめに
マネジメントシステムが初めて現れたころは、特定の指定された手順に従って運用することが非常に重要視されていました。マネジメントシステムの規格は非常に規範的であり、どの手順を作成しなければならないかを組織に伝えるだけでなく、その内容についてもかなりの部分を規定していました。このアプローチは、組織が創造的なソリューションを導入する能力を大きく制限するものでした。
その後、2000年にISO 9001が大幅に改訂されたときに、手順からプロセスへの切り替えとプロセスアプローチの出現という新たな視点が生まれました。プロセスアプローチでは、ビジネスプロセスが互いに分離して運用されるのではなく、すべてのプロセスが統合された完全なシステムとして運用されたときに、最良の結果が得られるとしています。Plan、Do、Check、Act のアプローチを用いて、プロセスの実現方法を継続的に改善し、リスクに基づく考え方でサービス提供に最も重要なプロセスに焦点を当てることで、組織のパフォーマンスを最大化します。
ISO/IEC TS 27022:2021
ところが、プロセスアプローチは20年以上も使われているにもかかわらず、いまだに「裏街道」のような存在です。プロセスアプローチの背後にある原理はよく理解されていますが、実装が不十分な場合が多いのです。そこで、情報技術小委員会 27(Information Technology Sub Committee 27 - Information Security, cybersecurity and privacy protection)は、ISO/IEC 27001ベースの情報セキュリティマネジメントシステム(ISMS)へのプロセスアプローチの導入を支援するために、ISO/IEC TS 27022:2021を作成しました。この新しい技術仕様書 (TS = Technical Specification) は、ISMSのプロセス参照モデルを提示するだけでなく、既存のISO/IEC 27000シリーズ規格に含まれる要求事項指向の視点を補完するために、運用およびプロセス指向の視点を提供するように設計されています。
プロセス参照モデル (PRM=Process reference model)
ISO/IEC TS 27022では、マネジメントプロセス、コアプロセス、サポートプロセスという3種類のプロセスを定義しています。
箇条6は、マネジメントプロセスに焦点を当てています。マネジメントプロセスとは、「マネジメントシステムの目標を定義する……」プロセスです。これには、IS ガバナンスとマネジメント・インタフェース・プロセスが含まれます。
箇条7は、コアプロセスに焦点を当てています。コアプロセスはISMSの主要な要素であり、「直接的に顧客価値を提供する」プロセスです。ISMSのコアプロセスには、セキュリティ方針マネジメントプロセス、ISリスクアセスメントプロセス、ISリスク対応プロセス、外部委託サービスの管理プロセス、IS改善プロセスが含まれます (ただし、これらに限定されません)。
箇条8はサポートプロセスを扱っています。サポートプロセスは「顧客価値を直接提供するのではなく、コアプロセスに必要な資源を提供・マネジメントすることでコアプロセスをサポートする」プロセスです。例えば、記録管理プロセス、資源マネジメントプロセス、コミュニケーションプロセス及びIS 顧客関係プロセスなどがあります。
ISMSの各プロセスが以下の観点から説明されています。
- Process category プロセスのカテゴリ
- a brief description 概略
- objectives/purposes 目標/目的
- its inputs インプット
- its results 結果
- activities/functions 活動/機能
- references (to other ISMS standards/clauses). 参照 (他のISMS規格/箇条)
これらのプロセスの記述は「PRMの基本要素」と呼ばれ、それぞれが共通のテンプレートに収められています (以下の例を参照)。
Process name プロセスの名称 |
Security policy management process セキュリティ方針マネジメントプロセス |
---|---|
Process category プロセスのカテゴリ |
コアプロセス |
Brief description 概略 |
セキュリティ方針マネジメントプロセスとは、IS方針、標準、手順及びガイドライン (IS方針と呼ばれる) を策定、維持及び保持するためのプロセスである。 |
Objectives/Purpose 目標/目的 |
ISに関する適切な方針、標準、手順、ガイドラインを策定し、維持し、利用可能とし、関連するステークホルダーが理解していることを確実にする。 |
Input インプット |
他のすべてのプロセスからはプロセスの結果。変更管理プロセスからは変更要求の形で、方針に必要な変更。 |
Results 結果 |
コミュニケーションプロセス、内部監査プロセス、パフォーマンス評価プロセス、記録管理プロセス、認識と力量を確実にするためのプロセスについて。 |
Activities/Functions 活動/機能 |
ISMSプロセスからのインプットを得て、IS方針を作成する IS方針の正式な承認を取得する IS方針の伝達 可読性 (legibility) の維持を含む保管と保存 変更/バージョンの管理 IS方針の改訂版の入手 保存期間後のIS方針の削除または廃棄 |
References 参照 |
7ISO/IEC 27001:2013 5.2, 7.4, 7.5 ISO/IEC 27003:2017 5.2, 7.4, 7.5 及び 附属書 A |
各テンプレートの後ろには、各プロセスの大枠の段階を示すフローチャートがあります。重要なのは、プロセスが他の方針、プロセス、またはデータソースと相互に作用することです (以下を参照のこと)
セキュリティ方針マネジメントプロセス
適用性
ISO/IEC TS 27022に含まれる PRM (プロセス参照モデル) は、ISO/IEC 27001に準拠するISMS を運用するすべての組織に適用することができます。
ISO/IEC 27001で規定されているさまざまなプロセスをどのように構築し、どのように連携させるべきかに迷っている方にとって、この新しい技術仕様書は確実にメリットをもたらします。また、すでにISO 27001を使用している組織にとっても、既存のシステムをチェックするのに役立つ文書となるでしょう。
◎情報セキュリティ関連では以下の記事もあります
>>ISO/IEC 27014: 情報セキュリティ, サイバーセキュリティ, プライバシー情報保護―情報セキュリティのガバナンス
>>ISO/IEC 27035 情報セキュリティインシデントが発生したとき、組織は何をすべきか?
>>ISO/IEC 27005:2018 情報技術-セキュリティ技術-情報セキュリティリスクマネジメント
>>ISO/IEC 27017:2015 – 情報技術 – ISO/IEC 27002に基づくクラウドサービスのための情報セキュリティ管理策の実践の規範