ISMS新規格への対策はそれに伴う「負担」と「コスト」を知るところから!
こんにちは。ゼタントCEOの久保です。
ISMS取得の重要性は企業規模の大小に関わらず、大きくなってきていますが、同時に、サーバー攻撃の多様化・高度化によって要求される管理策の条件も増えていきます。その都度、改訂や更新を繰り返していくわけですが、企業にとっては重い負担やコストになることもあります。
今回は、対策への第一歩として、ISMS改訂内容を負担・コスト別に分類してみましたので、対策のための行動計画や優先順位をつける際にご参考ください。
ISMS新規格で追加された管理策は?
ISMSでは、「管理策」という単位で、どんなことに対して対策すべきかがまとまっています。新しいISMSの第3版「ISO/IEC 27001:2022」の規格について、第2版から追加された管理策をまとめます。
ISMS新規格で追加された11個の管理策
脅威インテリジェンス
クラウドサービス利用のための情報セキュリティ
事業継続のためのICTの備え
物理的セキュリティ監視
構成管理
情報の削除
データマスキング
データ漏洩の防止
監視活動
ウェブフィルタリング
セキュアコーディング
なお、上記のような管理策の追加や、項目の統合、見直しなどに伴い管理策の構成が変わるため、適用宣言書も更新する必要があります。
新規格対応のための負担・コスト別分類
さて、これらの追加管理策について、新しい対策をルール化して運用しなければなりません。これらに掛かる手間や労力、コストなどの負担を基準にして分類してみました。
[明確に設備投資など追加のコストがかかるもの(未導入の場合)]
物理的セキュリティ監視
監視活動
ウェブフィルタリング
[文書やルールの整備・運用および追加作業で対応可能なもの]
事業継続のためのICTの備え
[文書やルールの整備・運用で対応可能なもの]
脅威インテリジェンス
クラウドサービス利用のための情報セキュリティ
構成管理
情報の削除
データマスキング
データ漏洩の防止
セキュアコーディング
ISMS新規格の審査に向けて
負担・コストを軸に分類してみると、単に決めて、ルールや文書を書き換えるだけでは完了しないものが見えてきます。特に、システムの追加導入や改修など、設備投資のコストがかかるものについては、予算確保、導入や開発の判断、実装に向けたシステム会社のディレクションなど、組織内のリテラシーの高さや対応力が求められるでしょう。
負担・コスト別に整理すると、管理策ごとにどの程度時間がかかりそうかを見積れるので、対策のための行動計画を立てやすくなります。
ISMS新規格への対策について、何から始めれば良いかわからない!という方は、まずはご自身の組織にとって、どの程度、負担やコストになるか、優先度が高く時間を要するものは何か、を可視化して対策のための行動計画を作成してみましょう。
そして、対策のための行動計画に沿って
新しい管理策をルール化・導入
運用開始
内部監査実施
マネジメントレビュー
の4つをクリアして、ISMS新規格「ISO/IEC 27001:2022」取得または更新の審査に備えましょう。
[次回のテーマ]
次回は、追加必須で負担・コストが大きい「WEBフィルタリング」と「監視活動」について解説いたします。是非、あわせてお読みいただき、ISMS審査への備えにお役立てください。
ゼタントについて
https://qfilter.net/#about
この記事が気に入ったらサポートをしてみませんか?