サイバー犯罪は、あらゆる業種や規模の企業に深刻な脅威を与えていることは、広く知られています。そのレパートリーは、スパイ行為から破壊工作、恐喝まで多岐にわたります。しかし、危険はインターネットからだけ来るのではありません。自社の従業員もまた、深刻な危険因子となり得るのです。ISO 27001のAnnex A.7を参照してください。
Loading...
情報セキュリティマネジメントシステム(ISMS)は、規格に基づき適切に構築されたものでなければなりません。 ISO 27001規格に準拠した情報セキュリティマネジメントシステム(ISMS)は、全体的な情報セキュリティ戦略を効果的に実施するための基礎となります。体系的なアプローチにより、会社の機密データを損失や悪用から守り、会社に対する潜在的なリスクを確実に特定し、分析し、適切な対策によって制御可能な状態にすることができるのです。これには、ITセキュリティの側面だけでなく、もっと多くのことが含まれます。特に、規格の附属書Aに記載されている対策の実施は、実践の場として価値があります。
ISO/IEC 27001:2013 - 情報技術 - セキュリティ手続き - 情報セキュリティマネジメントシステム - 要求事項。
ISO 27001の附属書A:実務上の関連性
ISO規格の附属書Aには、マネジメントシステム重視の要求事項の部分(4章から10章)に加えて、14章にわたる幅広いセキュリティ面に関する114の具体策を含む35の対策対象(コントロール)が広範囲に掲載されています。
注: 附属書Aで「対策」とされている記述は、実際には個々の目標(コントロール)である。標準に準拠した適切な(個々の)対策の結果がどのようなものであるべきかを記述している。
企業は、これらの管理策を基礎として、自社の情報セキュリティ政策を個別に、より深く構築することが望ましい。人に関する話題では、付録A.7の対策目的「人的セキュリティ」が特に興味深い。
"この対策は、従業員に対する不信感に頼るのではなく、明確に構造化された人事プロセスに依存する"
人事プロセスでは、雇用の全段階において、情報セキュリティに関する責任と義務が割り当てられ、その遵守が監視されていることが確認される。このように、情報セキュリティポリシーに対する違反は、意図的なものもそうでないものも含めて、不可能ではありませんが、はるかに困難なものとなっています。また、最悪の事態に陥った場合でも、効果的なISMSがあれば、違反に対処するための適切なメカニズムが組織に提供されます。
情報セキュリティは不信感ではない
企業が、内部からの不正アクセスをより困難にする、あるいは完全に防止するための適切なガイドラインを発行することは、決して不信感の問題ではありません。従業員の解雇が迫っている、あるいはすでに発表されている場合、その従業員の不満がデータの盗難につながる可能性があるからだ。特に、解雇された従業員が、プロジェクトデータの所有権を自分が持っていると考えている場合、このような事態が発生します。逆に、特定の仕事への応募が、すでに犯罪行為を意図して行われることもあります。
その他にも、重大な過失や単なる無謀を示すシナリオもあり、これらも同様に深刻な結果を招く可能性があります。例えば、IT部門全体が自分たちのルールを守らないということがあります。あまりにも面倒で、あまりにも時間がかかりすぎるのです。オフィスでは、パスワードの不注意な取り扱いや、保護されていないスマートフォンが挙げられます。しかし、USBメモリの不注意な接続、スクリーン上の開いた文書、誰もいないオフィスでの秘密文書など、考えられる漏れは枚挙にいとまがない。
ISO27001のAnnex A.7 - 人事セキュリティ
ISO27001規格に準拠した情報セキュリティ・マネジメント・システム(ISMS)を導入している企業は、ここで有利な立場に立つことができます。彼らは、国際的に認知された規格の要件と実務に関連する付属書A.7を理解しています。なぜなら、ISO 27001はここで多くのことを提供してくれるからです。参照措置は、規格の要求事項を直接参照していますが、それらは常に企業の直接的な実践を目的としています。
効果的なISMSを持つ企業は、A.7で指定された目標に精通しており、規格に完全に準拠するために、雇用のすべての段階にわたって、人員のセキュリティを視野に入れて実施する必要があります。
ISO27001規格の附属書A.7には、どのようなことが書かれているのでしょうか。
雇用前の対策
組織は、附属書A.7.1に従って、新入社員を雇用する前に、その将来の責任を理解し、その役割に適していることを確認しなければならない。要求事項の項(7.2章)で、規格は "力量 "について述べている。
目標志向の参照指標として、職務に就く応募者はまず、倫理原則と適用法に準拠したセキュリティ・クリアランスを受ける。このチェックは、業務上の要求事項、取得する情報の分類及び考えられるリスクとの関連で適切でなければならない(A.7.1.1)。これを達成できるようにするためには、特に、次のものが整備され、確保され、又は検証される必要がある。
- 情報を入手するための手順(どのような方法で、どのような条件の下で)。
- 遵守すべき法的・倫理的基準のリスト
- セキュリティチェックは、リスク及び企業のニーズに関連した適切なものでなければならない。
- C.V.、財務諸表及びその他の文書の信憑性及び真正性
- 申請者の信頼性及び能力
契約上の合意
次は、雇用と契約条件についてです。つまり、ISO/IEC 27001の附属書Aにおけるこの参照指標は、従業員が会社に対してどのような責任を持ち、逆に会社からどのような責任を受けるかについての契約上の合意(A.7.1.2)で構成されています。この要求事項を成功裏に実施するためには、特に以下の点を満たすことが必要です。
- 機密情報にアクセスする従業員(請負業者)による機密保持契約の締結。
- 従業員(請負業者)側が、例えば著作権やデータ保護などの問題を遵守する契約上の義務を負うこと。
- 外部情報を扱う際の従業員(請負業者)の責任に関する契約上の規定
雇用期間中 - トップマネジメントの責任
従業員は、情報セキュリティの責任を自覚しなければならない。これがA.7.2の目的であり、さらに重要なことは、従業員がこの責任を果たすことである。
最初の対策(A.7.2.1)は、確立された方針と手順に従って情報セキュリティを実施するよう従業員に奨励する経営者の義務を目的としている。そのためには、最低限、次の点を規定する必要がある。
- トップマネジメントは、どのような方法で従業員に実施を奨励するか?リスクはどこにあるのか?
- 実施されている情報セキュリティのガイドラインをどのように従業員に周知しているか?
- 従業員が情報セキュリティ対応指針を遵守しているかどうかをどのようにチェックしているか?
- 従業員に対して、どのように方針と手順を実行し、安全に適用するよう動機付けしているか。
意識の醸成
ISO27001では、7.3章「意識向上」において、関連する活動を行う者が、次のことを認識することを求めています。
- 組織の情報セキュリティ方針について
- 情報セキュリティマネジメントシステム(ISMS)の有効性に貢献すること。
- 情報セキュリティのパフォーマンスを向上させることの利点
- ISMSの要求事項を満たさない場合に生じる結果について
特に新入社員には、情報セキュリティに関する義務的な説明に加えて、電子メールやイントラネットを通じた定期的な情報提供が必要である。具体的な訓練(特に緊急時対策と演習)、テーマ別のワークショップ、啓発キャンペーン(ポスターなど)により、情報セキュリティマネジメントシステムに対する認識が強化されています。
例えば、ISO27001の付属書Aの参照指標A.7.2.1も、情報セキュリティに対する適切な意識を醸成する役割を担っている。組織は、専門的に関連するトピックについて、従業員および適切な場合には請負業者を訓練し、教育しなければならない。また、対応する方針と手続きは定期的に更新しなければなりません。特に次のような点を考慮しなければならない。
- トップマネジメントの情報セキュリティへの取り組み方
- 専門的な教育やトレーニングの内容
- 方針と手順が見直され、更新される頻度
- その他使用されているツール
- 情報セキュリティ方針及び手順を従業員に周知させるための具体的な方策
ヒント: 知識伝達のための複数のチャネルを備えたコミュニケーションが十分に機能するようにする。これは、規格が要求するISMS及び関連する側面に対する意識は、知識の伝達と密接に関係しているからです。
叱責のプロセス
附属書7.2.3:この対策は、情報セキュリティ違反が発生した場合に、組織が叱責を処理する方法を規定するものである。その根拠となるのは、是正処置プロセスである。正式に定義し、確立し、公表するものとする。次のことが確保されていなければならない。
- 情報セキュリティポリシー違反の重大性を分類するための基準が存在すること。
- 懲戒のプロセスが、適用される法律に違反しないこと。
- 懲戒のプロセスには、従業員が長期的に前向きな行動を改めるよう動機付ける措置が含まれていなければならない。
雇用の終了 - 責任
ISO27001の附属書A.7.3では、組織の利益を守るために、効果的な解雇または変更プロセスを目標として規定しています。この目標は、雇用の終了または変更に関する責任に焦点を当てています。したがって、雇用の終了または変更後に残る情報セキュリティ関連の責任と義務を定義し、伝達し、実施する必要があります。このような側面を考慮することは意味がある。
- 雇用契約において、雇用終了後も継続する情報セキュリティ関連の責任と義務に従業員がどのように対処するかについて合意しておく。
- これらの合意事項の遵守を確認するための監視体制
- 継続的な責任と義務の遵守を強制するための手続き
組織的な人事セキュリティによるサイバーセキュリティ
内部からの脅威は現実のものであり、ほとんどの企業はそれを認識しています。セキュリティに関する調査(Balabit 2018)によると、広範囲のアクセス権を持つ従業員は、特に攻撃を受けやすいとされています。また、セキュリティ侵害全体の50%に従業員が関与しており、回答したIT専門家の69%は、インサイダーデータの侵害を最大のリスクとみなしています。しかし、それに対する対策はほとんどとられていません。実際には、社内のスタッフに対して告発を行うことは難しい場合が多いのです。特に中小企業では、顔見知りが多いため、一定の信頼が置かれることが多く、時には不愉快な結果を招くこともあります。情報セキュリティマネジメントは、保護が必要な情報のセキュリティを確保するための基礎となるものである。
結論ISO 27001の実践 - 附属書A
ISO/IEC 27001は、附属書A.7で、規格導入の一環として実施しなければならない人的セキュリティの参考措置を示しています。企業は、これらの対策を、情報セキュリティ方針を個別に、より深く設計するための基礎として使用する必要があります。これらの対策は、従業員に対する不信感ではなく、明確に構造化された人事プロセスに依存しています。
専門知識と信頼
認証企業は、透明性を高め、複雑さを軽減し、セキュリティを提供するトップマネジメントのためのツールとして、マネジメントシステムを高く評価しています。しかし、マネジメントシステムの役割はそれ以上です。DQSの ような中立で独立した第三者機関が評価・認証することで、企業のパフォーマンスに対する関係者の信頼が生まれます。
しかし、多くの企業では、認証取得をコンプライアンスチェックと捉えています。一方、当社のお客様は、認証取得を、成功に不可欠な要素とマネジメントシステムの結果に焦点を当てる機会として捉えています。なぜなら、私たちのコア・コンピタンスは、認証審査と評価の実施にあるからです。このため、私たちは、信頼性、品質、顧客志向において常に新しい基準を設定することを主張する、世界有数のプロバイダーとなっているのです
Loading...
Certification according to ISO 27001
情報セキュリティマネジメントシステムを ISO 27001に適合させるためには、どれくらいの作業が必要でしょうか。無料でご確認いただけます。
注意: 弊社の記事は、社内のマネジメントシステム専門家および長年にわたる審査員によってのみ執筆されています。情報セキュリティ(ISMS)に関して、執筆者に質問がある場合は、こちらまでご連絡ください。ご連絡をお待ちしております。
DQSのメールマガジン
メルマガを登録して、あなたのビジネスに役立つ最新情報を入手しましょう。
著者名
André Saeckel
Product manager at DQS for information security management. As a standards expert for the area of information security and IT security catalog (critical infrastructures), André Säckel is responsible for the following standards and industry-specific standards, among others: ISO 27001, ISIS12, ISO 20000-1, KRITIS and TISAX (information security in the automotive industry). He is also a member of the ISO/IEC JTC 1/SC 27/WG 1 working group as a national delegate of the German Institute for Standardization DIN.
Loading...