6.1 リスク及び機会に対処する活動
| 項目 | 内容 |
|---|---|
| 改訂日 | 2024.04.01 |
| 適用範囲 | 全社 |
| 箇条番号 | 6.1 |
| 分類 | 計画策定 |
6.1.1 一般
Section titled “6.1.1 一般”ISMSの計画を策定するとき、組織は、4.1 に規定する課題及び 4.2 に規定する要求事項を考慮し、次の事項のために対処する必要があるリスク及び機会を決定しなければならない。
- a) ISMSが、その意図した成果を達成できることを確実にする。
- b) 望ましくない影響を防止又は低減する。
- c) 継続的改善を達成する。
組織は、次の事項を計画しなければならない。
- d) 上記によって決定したリスク及び機会に対処する活動
- e) 次を行う方法
-
- その活動のISMSプロセスへの統合及び実施
-
- その活動の有効性の評価
-
6.1.2 情報セキュリティリスクアセスメント
Section titled “6.1.2 情報セキュリティリスクアセスメント”組織は、次の事項を行う情報セキュリティリスクアセスメントのプロセスを定め、適用しなければならない。
- a) 次を含む情報セキュリティのリスク基準を確立し、維持する。
-
- リスク受容基準
-
- 情報セキュリティリスクアセスメントを実施するための基準
-
- b) 繰り返し実施した情報セキュリティリスクアセスメントが、一貫性及び妥当性があり、かつ、比較可能な結果を生み出すことを確実にする。
- c) 次によって情報セキュリティリスクを特定する。
-
- ISMSの適用範囲内における情報の機密性、完全性及び可用性の喪失に伴うリスクを特定するために、情報セキュリティリスクアセスメントのプロセスを適用する。
-
- これらのリスク所有者を特定する。
-
- d) 次によって情報セキュリティリスクを分析する。
-
- 6.1.2 c) 1) で特定されたリスクが実際に生じた場合に起こり得る結果についてアセスメントを行う。
-
- 6.1.2 c) 1) で特定されたリスクの現実的な起こりやすさについてアセスメントを行う。
-
- リスクレベルを決定する。
-
- e) 次によって情報セキュリティリスクを評価する。
-
- リスク分析の結果と 6.1.2 a) で確立したリスク基準とを比較する。
-
- リスク対応のために、分析したリスクの優先順位付けを行う。
-
組織は、情報セキュリティリスクアセスメントのプロセスについての文書化した情報を保持しなければならない。
6.1.3 情報セキュリティリスク対応
Section titled “6.1.3 情報セキュリティリスク対応”組織は、次の事項を行うために、情報セキュリティリスク対応のプロセスを定め、適用しなければならない。
- a) リスクアセスメントの結果を考慮して、適切な情報セキュリティリスク対応の選択肢を選定する。
- b) 選定した情報セキュリティリスク対応の選択肢の実施に必要な全ての管理策を決定する。
- c) 6.1.3 b) で決定した管理策を附属書Aに示す管理策と比較し、必要な管理策が見落とされていないことを検証する。
- d) 次を含む適用宣言書を作成する。
- 必要な管理策(6.1.3 の b) 及び c) 参照)
- それらの管理策を含めた理由
- それらの必要な管理策を実施しているか否か
- 附属書Aに規定する管理策を除外した理由
- e) 情報セキュリティリスク対応計画を策定する。
- f) 情報セキュリティリスク対応計画及び残留している情報セキュリティリスクの受容について、リスク所有者の承認を得る。
組織は、情報セキュリティリスク対応のプロセスについての文書化した情報を保持しなければならない。
組織の状況(4.1)及び利害関係者の要求事項(4.2)を踏まえ、ISMSの意図した成果を達成するために対処すべきリスク及び機会を特定し、適切なリスクアセスメント及びリスク対応を実施するため。
当社における実施状況
Section titled “当社における実施状況”6.1.1 一般:リスク及び機会の決定
Section titled “6.1.1 一般:リスク及び機会の決定”当社では、4.1 組織及びその状況の理解 で特定した外部・内部の課題、及び 4.2 利害関係者のニーズ及び期待の理解 で特定した要求事項を踏まえ、以下のリスク及び機会を決定している。
主なリスク:
- クラウドサービスの設定不備による情報漏えい
- 不正アクセスによる顧客情報・個人情報の流出
- 従業員の誤操作・内部不正による情報漏えい
- サービス停止による事業継続への影響
- 法令・規制要件への不適合
主な機会:
- クラウドサービスの活用による柔軟なセキュリティ対策の実現
- 少人数体制に適した効率的なISMS運用
- 継続的改善による顧客信頼の獲得
これらのリスク及び機会に対処する活動は、年1回のマネジメントレビュー(8月)において有効性を評価し、必要に応じて改善を行う。
6.1.2 情報セキュリティリスクアセスメント
Section titled “6.1.2 情報セキュリティリスクアセスメント”当社のリスクアセスメントプロセスは、「14. 情報セキュリティリスクアセスメント」に定めている。
リスク基準:
| 項目 | 基準 |
|---|---|
| リスク受容基準 | リスク値2以下(低)は受容可能 |
| 影響度 | 3段階(1:限定的、2:事業支障、3:重大影響) |
| 発生可能性 | 3段階(1:低、2:中、3:高) |
| リスクレベル | 影響度 × 発生可能性(高:6-9、中:3-4、低:1-2) |
リスク所有者:
各情報資産のリスク所有者は、情報資産台帳において明確化している。重要な情報資産については、情報セキュリティ責任者(代表取締役)が最終的なリスク所有者となる。
実施頻度:
- 定期実施:年1回(8月のマネジメントレビュー前)
- 臨時実施:新たな重要情報資産の追加、大規模なシステム構成変更、インシデント発生時等
6.1.3 情報セキュリティリスク対応
Section titled “6.1.3 情報セキュリティリスク対応”リスク対応の選択肢:
| 対応方針 | 説明 |
|---|---|
| 低減 | 管理策を適用してリスクを許容可能なレベルまで低減 |
| 受容 | リスクが許容範囲内であり、追加対策を行わない |
| 回避 | リスク源となる活動を中止または変更 |
| 移転 | 保険加入や外部委託によりリスクを移転 |
リスク対応計画:
「高」と判定されたリスクについては、リスク対応計画をYouTrackのチケットとして管理し、実施期限・担当者を明確化している。
リスク所有者の承認:
リスクアセスメント結果及びリスク対応計画は、情報セキュリティ責任者(代表取締役)が承認する。