リスクグループ分析表の「脆弱性(現状の管理策)」というのは「特定されたリスクが生じた場合に起こり得る結果」とイコールにならないようですが、こちらは何を書けばいいのでしょうか?
今回、ISMS認証取得支援パッケージを購入し、定期審査が無事終了しました。
その中でリスクグループ分析表について指摘事項がありました。
IEC 27001:2013の規格では、
機密性(C)、完全性、(I)可用性(A)+リスクの起こりやすさ+特定されたリスクが生じた場合に起こり得る結果に対してアセスメントを実施する必要がある
とのことでした。
リスクグループ分析表のサンプルですと「脅威ランク」がリスクの起こりやすさ、「資産区分が(C)(I)(A)」になるかと思いますが、「脆弱性(現状の管理策)」というのは「特定されたリスクが生じた場合に起こり得る結果」とイコールにならないようですが、こちらは本来何を書けばいいのでしょうか?
今回指摘を受けたのは、おそらくリスクグループ分析対策表の表記方法に問題があったことと、表記内容についてうまく説明できなかったことが考えられます。
問題となっている部分の要求事項ですが、ISO/IEC 27001:2013の「6.1.2 情報セキュリティリスクアセスメント」のd)項の1)と2)の部分になるかと思います。
この部分に関しては、JIPDECユーザーズラインの「付録2 情報セキュリティリスクアセスメント(事例)」(P110)でも解説があるので、サンプル文書と比較しながらみると良いかと思います。
まず、1)の「6.1.2 c) 1) で特定されたリスクが実際に生じた場合に起こり得る結果についてアセスメントを行う。」について説明します。
「JIPDECユーザーズガイド」の「①起り得る結果のアセスメント」では、以下のようにインプットとアウトプットを説明しています。
▼インプット
脅威、ぜい弱性、影響を受ける資産、資産及び事業プロセスに対する結果の特定を含む、特定された関連インシデントシナリオ(リスク)のリスト。
資産の機密性、完全性又は可用性の喪失のような、情報セキュリティ違反の結果を考慮して評価。
▼アウトプット
資産及び影響基準(リスク基準の一部)によって表されるインシデントシナリオの評価結果のリスト。
ISMSサンプル文書集では、JIPDECユーザーズガイドにある「特定された関連インシデントシナリオのリスト」が「脅威一覧表」にあたり、「資産の機密性、完全性又は可用性の喪失のような、情報セキュリティ違反の結果を考慮して評価。」が「脅威一覧表」の「影響する資産価値(C/I/A)」となります。
それらと情報資産により、評価します。
次に、2)の「6.1.2 c) 1) で特定されたリスクの現実的な起こりやすさについてアセスメントを行う。」について説明します。
こちらも、「JIPDECユーザーズガイド」の「② インシデントの起こりやすさのアセスメント」で、以下のようにインプットとアウトプットを説明しています。
▼インプット
①にプラスして、つけ込まれるぜい弱性。全ての既存の管理策及び予定した管理策、そのパフォーマンス、実施及び使用状態のリスト。
▼アウトプット
インシデントシナリオの起こりやすさを評価し、その起こりやすさ(定量的又は定性的)。
ISMSサンプル文書で直接的な記載はありませんが、①にプラスされた「ぜい弱性」と「既存の管理策及び予定した管理策、そのパフォーマンス、実施及び使用状況」のインプットが、「リスクグループ分析対策表」に示す「脆弱性(現状の管理策)」に該当します。
上記を受け、脅威ランクが「起こりやすさ」としての評価となります。
質問にありました『「脆弱性(現状の管理策)」というのは「特定されたリスクが生じた場合に起こり得る結果」とイコールにならないようですが、こちらは本来何を書けばいいのでしょうか?』の部分については、「特定されたリスクが生じた場合に起こり得る結果」を書くのではなく、①以外のインプット情報となる「脆弱性」と「既存の管理策及び予定した管理策、そのパフォーマンス、実施及び使用状態」を書くことになります。
ちなみに、新規取得の場合であれば「脅威に対しての管理策が確立されていない」状態であり、維持・更新の場合であれば「脅威に対しての管理策が確立されている」状態といった違いがあります。
