ISMSのPDCAサイクルにおけるP:計画の重要ポイントと詳細な進め方

PDCAサイクルは、Plan(計画)、Do(実行)、Check(評価)、Act(改善)の頭文字を取った略称で、組織が継続的に改善を図るためのフレームワークです。セキュリティマネジメントシステム(ISMS)においても、PDCAサイクルは重要な役割を果たします。

その中でも、P(Plan:計画)は、情報セキュリティリスクを低減し、情報セキュリティ目標を達成するための土台となる重要なフェーズです。本記事では、ISMSにおけるP(Plan:計画)について詳しくまとめました。

P:計画フェーズの重要ポイント

効果的なISMSの整備と運用のためにも、計画段階では次のポイントに注意が必要です。

  • 経営層のコミットメント
    経営層がISMSの重要性を認識し、積極的に支援することが重要です。

  • 情報セキュリティリスクアセスメントの実施
    組織が抱える情報セキュリティリスクを体系的に洗い出し、分析します。

  • 情報セキュリティ目標と対策の策定
    リスクアセスメントに基づき、具体的な情報セキュリティ目標と対策を策定します。

  • 文書の作成
    情報セキュリティポリシー、情報セキュリティ基本方針、情報セキュリティ手順書などの文書を作成します。

  • 関係者への周知徹底
    策定した目標、対策、文書を関係者に周知徹底します。

ISMSにおけるPDCAのPを的確に行わなかった際の失敗例

ISMS(情報セキュリティマネジメントシステム)におけるPDCAサイクルにおいて、P(Plan:計画)フェーズを的確に行わなかった場合、以下のような失敗例が発生する可能性があります。

1. 情報セキュリティリスクへの対応不足と事例

  • リスクアセスメントの実施が不十分
    情報資産の洗い出しや脅威の特定が不十分な場合、重要な情報資産に対するリスクを把握できず、適切な対策を講じることができません。

    対応不足の例)
    情報資産の洗い出しが不十分で、顧客情報漏洩リスクを認識できずに、適切な対策を講じなかった結果、顧客情報が漏洩してしまった。
  • 対策の選定ミス
    リスク分析に基づかない対策を選定してしまうと、リスクを低減することができません。

    対応不足の例)
    リスク分析に基づかず、コストのみを重視して対策を選定した結果、重要な情報資産に対するリスクが十分に低減できず、情報漏洩が発生してしまった。
  • 対策の具体化不足
    対策を具体的に計画していないと、実行が困難になり、効果が期待できません。

    対応不足の例)
    対策を具体的に計画していないため、担当者が何をすべきかわからず、対策が実行されなかった結果、情報セキュリティインシデントが発生してしまった。

2. 情報セキュリティ目標の達成遅延

  • 目標設定が不明確
    目標が曖昧だと、目標達成状況を判断することができず、モチベーションが低下してしまいます。

    対応不足の例)
    情報セキュリティ目標が「情報セキュリティインシデントを発生させない」と抽象的に設定されてしまい、具体的な対策や達成指標が明確化されなかった結果、目標達成状況を判断できず、対策が停滞してしまった。

  • 目標設定が非現実的
    達成不可能な目標を設定してしまうと、関係者の士気が下がってしまいます。


対応不足の例)
情報セキュリティ目標を「情報セキュリティリスクを100%低減する」と非現実的に設定してしまった結果、関係者のモチベーションが低下し、対策への積極性が低下してしまった。

  • 目標達成のための計画が不十分
    目標達成のための具体的な計画がないと、目標達成が遅れてしまいます。

対応不足の例)
情報セキュリティ目標達成のための具体的な計画が作成されなかったため、担当者が何をすべきかわからず、目標達成が遅れてしまった。

3.情報セキュリティ対策の非効率

  • 対策の重複
    同じリスクに対して複数の対策を講じてしまうと、効率が悪くなります。

    対応不足の例)
    同様の情報セキュリティリスクに対して、ファイアウォールと侵入検知システムの両方を導入してしまった結果、コストが無駄に増加してしまった。

  • 対策の相互作用の考慮不足
    異なる対策を組み合わせる場合、相互作用を考慮しないと、効果が相殺されてしまうことがあります。

    対応不足の例)
    情報暗号化とアクセス制御の対策を組み合わせた場合、相互作用を考慮せずに設定したため、アクセス制御が機能せず、情報セキュリティリスクが低減できなかった。

  • 対策の効果測定の不十分
    対策の効果を測定していないと、効果的な対策と非効率な対策を区別することができず、無駄なコストが発生します。


対応不足の例)
対策の効果を測定していないため、効果的な対策と非効率な対策を区別できず、無駄なコストが発生し続けてしまった。

4. 組織全体の情報セキュリティ意識の低さ

  • 関係者への周知徹底不足
    情報セキュリティポリシーや情報セキュリティ基本方針、情報セキュリティ手順書などの文書を関係者に周知徹底していないと、情報セキュリティに対する意識が低くなります。

    対応不足の例)
    情報セキュリティポリシーを文書化し、イントラネット上に掲載したのみで、関係者への説明や周知徹底を行わなかった結果、従業員が情報セキュリティポリシーの内容を理解できず、情報セキュリティリスクの高い行動を取ってしまった。

  • 教育訓練の不足
    情報セキュリティに関する教育訓練を実施していないと、従業員が情報セキュリティリスクを認識できず、適切な行動を取ることができません。

    対応不足の例)
    情報セキュリティに関する教育訓練を定期的に実施していなかったため、従業員が情報セキュリティリスクを認識できず、フィッシングメールの添付ファイルを開封してしまうなど、情報セキュリティインシデントが発生してしまった。

  • 相談窓口の設置不足
    情報セキュリティに関する相談窓口を設置していないと、従業員が疑問や不安を抱えても相談できず、情報セキュリティインシデントが発生しやすくなります。

    対応不足の例)
    情報セキュリティに関する相談窓口を設置していなかったため、従業員が情報セキュリティに関する疑問や不安を抱えても相談できず、情報セキュリティインシデントを早期に発見・対応することができなかった。

ISMSにおけるP:計画フェーズの具体的な進め方

Pでは主に次のステップがあります。

1. 情報セキュリティリスクアセスメントの実施

  • 範囲の決定: 情報セキュリティリスクアセスメントの対象となる範囲を決定します。
  • 情報資産の洗い出し: 組織が保有する情報資産を洗い出します。
  • 脅威の特定: 情報資産に脅威を与える可能性のある要素を特定します。
  • 脆弱性の特定: 情報資産に脆弱性がないかどうかを調査します。
  • リスクの分析: 脅威と脆弱性に基づき、情報セキュリティリスクを分析します。
  • リスク評価: リスクの重要度と発生確率を評価します。

2. 情報セキュリティ目標と対策の策定

  • 情報セキュリティ目標: リスクアセスメントの結果に基づき、具体的な情報セキュリティ目標を策定します。
  • 情報セキュリティ対策: 目標達成のために必要な対策を策定します。
  • 対策の選定: 策定した対策の中から、適切な対策を選定します。
  • 対策の具体化: 選定した対策を具体的に計画します。

3. 文書の作成

  • 情報セキュリティポリシー: 組織の情報セキュリティに関する基本的な方針を定めた文書です。
  • 情報セキュリティ基本方針: 情報セキュリティポリシーに基づき、具体的な目標と対策を定めた文書です。
  • 情報セキュリティ手順書: 情報セキュリティ対策を具体的に実行するための手順を定めた文書です。

4. 関係者への周知徹底

  • 策定した目標、対策、文書を関係者に周知徹底します。
  • 教育訓練を実施し、関係者の理解を深めます。
  • 相談窓口を設置し、関係者の質問に答えます。

ISMSにおけるP成功のポイント

  1. 関係者全員の参加
    情報セキュリティリスクアセスメント、情報セキュリティ目標と対策の策定、文書の作成、関係者への周知徹底には、関係者全員が参加することが重要です。
  2. 専門家の活用
    必要に応じて、情報セキュリティの専門家に協力を依頼することが有効です。
  3. 継続的な見直し
    情報セキュリティリスクは常に変化するため、情報セキュリティリスクアセスメント、情報セキュリティ目標と対策、文書を定期的に見直すことが重要です。

さいごに

ISMSのPDCAサイクルを成功させるためには、Pフェーズが非常に重要です。 上記のポイントを参考に、計画をしっかりと立て、ISMSの有効性を高めてください。

ISMSのPDCAサイクルを成功させたいお客様、お悩みを抱えているお客様など、お気軽にお問い合わせください。