情報通信技術(ICT)が円滑に機能することは、デジタル化の中でビジネスプロセスを維持するために不可欠である。たとえ短時間の停止や中断であっても、深刻な経済的損失を伴うことが少なくありません。ハッカーは、高度なランサムウェア攻撃でデータやシステムを暗号化し、高額な身代金が支払われた後にのみそれらを解放することで、このような損害の可能性を悪用している。
情報セキュリティの国際規格であるISO 27001とISO 27002の更新は、このような動きに歯止めをかけることを目的としている:附属書Aのセキュリティ対策(管理)5.30「事業継続のためのICT準備」は、障害発生時にもICTの可用性を確保することを企業に義務付けている。新しいISO 27001:2022は、この管理で強力なシグナルを発信し、企業が脅威シナリオに対して組織構造とセキュリティアーキテクチャをタイムリーに武装できるよう支援します。コントロール5.30が情報セキュリティマネジメントシステムにとってどのような意味を持つのか、また、今後の審査にどのような影響を与えるのかについては、以下のブログ記事をお読みください。
Microsoft Teamsのようなコラボレーションツール、主要なハイパースケーラのプラットフォーム上のクラウドアプリケーション、クラウドサービスの利用、ネットワーク化された生産(インダストリー4.0)は、コロナウイルスのパンデミック以降だけでなく、現代企業の日常生活の一部となっている。現代の情報通信技術は、迅速かつ効率的なワークフローを可能にし、あらゆる業界のビジネスプロセスを維持するためのかけがえのないツールとなっている。
逆に言えば、これはICTのセキュリティと可用性が非常に重要であることを意味し、円滑なプロセスを保証し、潜在的な損害を最小限に抑えるためには、適切な対策とプロセスによって体系的に監視し、混乱から保護しなければならない。これは、特に地政学的な対立によってサイバー脅威が高まっている時代において、ますます重要になってきている。企業にはこの目的のために、自由に使えるさまざまなツールがある。以下に一般的な用語で説明し、ISO 27001の管理5.30の文脈で考察する。
情報セキュリティの「新しいブロック」について知っておくべきこと:38のユーザーからの質問に対する専門家からの38の回答。
事業継続マネジメント(BCM)とは、例えばISO22301に準拠したもので、(緊急)計画や戦略を作成、実施、見直すことにより、障害発生時やその後に重要な事業機能が長期間中断しないようにしたり、可能な限り迅速に再開できるようにするマネジメントプロセスである。
この規格では、ビジネスプロセスの信頼性を高めるための(緊急時)準備組織と緊急時計画の観点から、予防的な予防策を説明している。さらに、(緊急)対応組織の一環として、ITプロセスに障害が発生した場合に迅速かつ的を絞った対応を可能にし、ダウンタイムを短縮するために、例えば企業内の高度なICTセキュリティを通じて、(緊急)対応策(ディザスタリカバリ)が計画され、実施される。
戦略的計画の一環としてのBCMには、潜在的なリスクや脆弱性の特定、ビジネスプロセスの重要性の評価、混乱への対応計画の策定、定期的な演習やシミュレーションによるこれらの計画のテストが含まれる。事業継続マネジメントの目的は、企業が混乱に迅速かつ効果的に対応できるようにすることであり、また、企業が提供する能力と事業運営に対する利害関係者の信頼を向上させることである。
事業インパクト分析(BIA) は、事業継続マネジメントにおいて、組織内の重要なプロセスや事業機能を記録し、それらの相互依存関係や基礎となるリソースを特定するために使用される手法である。したがって、BIAは、事業活動に対するディスラプションの影響を特定し、評価するのに役立つ戦略的プロセスである。BIAは、必要な再開時間を決定するための基礎を形成する。
BIAでは通常、ビジネスプロセスの重要性を評価し、これらのプロセスをサポートするために必要なリソースを特定し、これらのプロセスやリソースに対するディスラプションの影響を判断する。この分析は、企業がディスラプションの潜在的な影響を理解し、それに応じて対応と復旧の努力に優先順位をつけるのに役立つ。
BIAの結果は、事業継続計画(BCP)やその他のリスク管理戦略の策定に役立てることができ、予期せぬ事態に対処するための備えを整え、システムや組織の可用性を高めることでその影響を最小限に抑えることができる。
事業インパクト分析(BIA)の実施に関するさらなる推奨事項は、ISO/TS 22317の ガイドラインにも記載されています。
情報通信技術(ICT)は、企業内の事業継続に大きな影響を与えます。特に重要インフラ(KRITIS)の分野などでは、中断が大きな影響を及ぼす可能性がある。このため、新しいISO/IEC 27001:2022の附属書Aの管理5.30「事業継続のためのICT準備」は非常に重要である。
この対策の目的は、事業継続目標及びそこから導き出され、実施され、検証されたICT継続性要件に基づいて、重要なICTシステムの高水準の可用性を確保することである。これには、BIAプロセスにおける影響タイプと影響基準の定義が含まれる。
優先業務活動は、これに基づいて特定され、復旧時間目標(RTO)が割り当てられる。次にBIAは、これらの優先順位の高い活動にどのリソースが必要かを決定し、それらにもRTOを割り当てる。これらのリソースのサブセットには、ICTサービスが含まれる。さらに、優先順位付けされたICTリソースについて、復旧ポイント(RPO=Recovery Point Objective)とその距離も定義する。
これらすべてのプロセスの結果に基づいて、組織は、混乱前、混乱中、混乱後のオプションを考慮したICT継続戦略を特定し、選択する必要がある。これに基づいて、必要なICT準備態勢を満たすための継続計画(対応手順と復旧手順を含む)が策定され、実施され、テストされる。
この文脈では、ISO規格ISO/IEC 27031「事業継続のためのICT準備ガイド」も参照すべきである。
改訂されたISO 27001:2022規格の認証を取得するためには、組織は以下のことが必要です。
認証取得にはどのような努力が必要でしょうか?今すぐお調べください。義務はなく、無料です。
アンハルト・ビッターフェルトにおける行政ハッキングの顕著な例は、その結果、いくつかの自治体サービスが数週間から数ヶ月にわたって利用できなくなったものであり、今日の世界における情報通信技術の関連性の高さを示している。しかし、この例は、継続性と確立された緊急プランがいかに重要であるかをも示している。
したがって、セキュリティ対策管理 5.30「事業継続のための ICT 準備」は、企業のレジリエンスを強化するために、改訂された情報セキュリティ規格 ISO/IEC 27001:2022 および ISO/IEC 27002:2022 の重要な側面である。
しかし、企業は、導入時に使用する情報通信技術の重要性とリスクの可能性を評価することが困難な場合があり、このことは優先順位付けの連鎖に直接影響する。BIAとリスク分析は、いわば事業継続管理のバックボーンである。したがって、認証取得に向けて、経験豊富な専門家とともに、事業継続のための自社の取り組みとICTソリューションの可用性を見直し、最適化することは価値がある。
移行期間のおかげで、企業は自社の情報セキュリティ管理を新しい要件に適合させ、認証を取得するのに十分な時間がある。しかし、変更プロセス全体の期間と労力を軽視してはなりません。安全側に立ちたいのであれば、新要件と新基準への移行は早め早めに対応した方がよい。
...の詳細については、無料でお問い合わせください。
約40年にわたる審査・認証の専門家として、デルタ審査の一環など、お客様の現状評価を喜んでサポートいたします。リヒテストの専門家が、最も重要な変更点と貴社組織との関連性についてご説明します。
当社のテキストは、社内のマネジメントシステム専門家および長年の監査経験者のみが執筆しています。著者へのご質問は、こちらまでご連絡ください。
