ここでは、情報セキュリティポリシー及びその実施手順を策定するための作業ステップ
①適用する範囲の特定と情報資産の棚卸し
②リスク分析と対応する管理策の決定及び対策基準の作成
③管理策の具体的実装計画と対応する実施手順の作成
のうち、②、③について説明していきます。
②リスク分析と対応する管理策の決定及び対策基準の作成
ここでは棚卸しされた情報資産に対して、どのような脆弱性及び脅威が存在するのかを洗い出し、リスク分析を行なっていきます。
手段の一つとして、情報資産の重要度、脅威及び管理策の現状を洗い出すとともに、現状の管理策に対する脆弱性を含めて何段階かで数値化し、これを総合的に評価して実施するといった方法があります。
次にリスク分析の結果として、ある一定以上のリスクを有する情報資産に対しては、具体的な管理策を決定します。
現状の管理策が不十分な場合は、是正のための管理策を選定します。
この分析結果と管理策をまとめて、必要な対策基準を策定します。
ISMSでは必要な管理策を付属書Aの中で列挙しています。
情報資産と管理策の対応ができた段階で、これを対策基準として明文化します。
明文化することで社内、組織内に向けて、また場合によっては組織外やステークホルダーに向けて、何が情報資産として重要でありどのように守るべきかを明確化するとともに、これを逸脱した場合どのような責任が発生するかについても明らかにすることができます。
③管理策の具体的実装計画と対応する実施手順の作成
情報資産に対する管理策は、あくまで対策方針です。
例えば、インターネットに接続するICT機器と顧客情報を扱う業務システムではネットワークを分離する、といった方針が示されているわけです。
ではこれを「具体的にどのように実現するか」、「ソフトウェアやハードウェアとしてどのように実装するか」、「さらに実装されたシステムやプロセスをどのような手順で運用していくか」に関して詳細化する必要があります。
これらを実施手順としてまとめていきます。
具体的にはシステムやプロセスの設計書、運用管理マニュアル、あるいはユーザーガイドなどの文書としてまとめられ、社内、組織内で共有される必要があります。