リスクマネジメントに関連する国際標準化動向－ISO/IEC 27001（JIS Q 27001）, ISO/IEC 27005 他 3．社会セキュリティマネジメント（SSM）の国際標準と

© Hitachi, Ltd. 2011. All rights reserved.

２０１１年度第２回ＩＴリスク学研究会

相羽律子

2011/07/09

株式会社日立製作所情報・通信システム社経営戦略室事業開発部

リスクマネジメントに関連する国際標準化動向


Contents０．導入：リスクとは？

２．情報セキュリティマネジメント（ISM）の国際標準とリスクマネジメント－ ISO/IEC 27001（JIS Q 27001）, ISO/IEC 27005 他

３．社会セキュリティマネジメント（SSM）の国際標準とリスクマネジメント－ ISO DIS 22301 , ISO FDIS 22313 他

１．リスクマネジメントの国際標準－ ISO 31000 （JIS Q 31000）, ISO Guide 73 （JIS Q 0073）他

参考：標準化組織と規格の種類及び策定手順

参考文献


0導入：リスクとは？


導入：リスクとは？（１）

3

0．２０１１年度第２回ＩＴリスク研究会

例１情報漏洩が発生→ 訴訟を起こされた結果，多額の補償金を支払った。→ 信頼失墜により業績が悪化した。

例２地震や水害が発生→ 社屋が倒壊した。→ 被災後，一定期間業務が継続できなった。

これらは顕在化により損失のみを発生するリスクの例

例３新規ビジネスの開始→ 新規ビジネスの開発に大きなコストがかかった。→ もし，ビジネスが成功すれば，コストを回収しさらに利益を得られる。

もし，ビジネスが失敗すれば，大きな損害がでる。

これは利益または損害のいずれかを発生するリスクの例


導入：リスクとは？（２）

4


純粋リスク顕在化により損失のみを発生するリスク

例：災害，事故，従業員による丌正行為，コンピュータウィルスによる被害

→ 保険が想定するリスク

→ 情報セキュリティにおいても，主に純粋リスクが想定される

投機的リスク顕在化により利益または損失を発生するリスク

例：投資のリスク，為替リスク，景気変動のリスク

→金融分野で扱われてきた

→リスクと呼ばずに機会と呼び，リスク（純粋リスク）と区別する場合もある

ポジティブリスク，ネガティブリスクという呼び方もある。しかし明確な定義は無い。→ ポジティブリスク＝投機的リスク（機会）？→ ポジティブリスク＝利益を発生するリスク？


導入：リスクとは？（３）0．２０１１年度第２回ＩＴリスク研究会

定義目的に対して丌確さが不える影響

effect of uncertainty on objectives.

注記１影響とは、期待されていることからのよい方向および／または悪い方向への偏差。

注記２諸目標は、例えば財務・安全衛生・環境に関する到達目標など、さまざまな側面を持ち得るものであり、戦略・組織全体・プロジェクト・製品・プロセスなどさまざまなレベルに適用できる。

注記３リスクは、起こり得る諸事象、結果、もしくはこれらの組み合わせ、ならびにこれらが諸目標の達成にどのように影響し得るかということと関連付けて特徴付けられることが多い。

注記４リスクは、ある事象の結果または周辺環境の変化の結果と起こりやすさとの組み合わせという観点から表わされることが多い。

注記５不確実性とは，イベント，その結果及び見込み関連する情報の知識や理解が欠落（部分的なものも含む）している状態。

この定義には，純粋リスクも投機的リスクも含まれる。

JIS Q 0073:2010（ISO Guide 73:2009）によるリスクの定義

5


導入：リスクとは？（４）0．２０１１年度第２回ＩＴリスク研究会

定義事象の発生確率と事象の結果の組み合わせ

combination of the probability of an event and its consequence.

備考１用語“リスク”は、一般に少なくとも好ましくない結果を得る可能性がある場合にだけ使われる。

備考２ある場合には、リスクは期待した成果、又は事象からの偏差の可能性から生じる。

備考３安全に関する事項については、ISO/IEC Guide51:1999を参照のこと。

特に純粋リスクだけには限定されない。しかし，備考１と３は，ネガティブな結果の可能性をもつリスクを主として考えることを示している。

JIS TR Q 0008:2003（ISO/IEC Guide 73:2002）によるリスクの定義（旧バージョン）

2009年版になり，（注記も含め）ネガティブ，ポジティブ両面のリスクを区別無く定義する内容となった。

6


導入：リスクとは？（５）

7


定義脅威が資産または資産グループの脆弱性を利用し，その結果，組織に害を及ぼす可能性

potential that a threat will exploit a vulnerability of an asset or group of assets and thereby cause harm to the organization

純粋リスクだけに限定。また，資産，脅威，脆弱性などの要素を用いてリスクを定義。

ISO/IEC 27000:2009 による情報セキュリティリスクの定義（仮訳）

資産，脅威，および脆弱性の定義

資産組織にとって価値のあるもの脅威情報システム又は組織に損害をもたらす望まれないインシ

デントの潜在的原因脆弱性脅威に活用される資産又は管理策の弱点

（JIS Q 27001:2006）


導入：リスクとは？（６）0．２０１１年度第２回ＩＴリスク研究会


effect of uncertainty on objectives.注記１影響とは、期待されていることからのよい方向および／または悪い方向への偏差。

注記２諸目標は、例えば財務・安全衛生・環境に関する到達目標など、さまざまな側面を持ち得るものであり、戦略・組織全体・プロジェクト・製品・プロセスなどさまざまなレベルに適用できる。

注記３リスクは、起こり得る諸事象、結果、もしくはこれらの組み合わせ、ならびにこれらが諸目標の達成にどのように影響し得るかということと関連付けて特徴付けられることが多い。

注記４リスクは、ある事象の結果または周辺環境の変化の結果と起こりやすさとの組み合わせという観点から表わされることが多い。

注記５不確実性とは，イベント，その結果及び見込み関連する情報の知識や理解が欠落（部分的なものも含む）している状態。

注記６情報セキュリティリスクは，脅威が資産または資産グループの脆弱性を利用し，その結果，組織に害を及ぼす可能性のこと。

Information security risk is associated with the potential that threats will exploit vulnerabilities of an information asset or group of information assets and thereby cause harm to an organization.

Guide 73の定義に注記６として27000の情報セキュリティリスクの定義を追加。

ISO/IEC 27005:2011 によるリスクの定義（仮訳）

8


1リスクマネジメントの国際標準－ ISO 31000 （JIS Q 31000）, ISO Guide 73 （JIS Q 0073）他

２０１１年度第２回ＩＴリスク研究会


リスクマネジメントの国際標準（１）

10

１．２０１１年度第２回ＩＴリスク研究会

ISO 31000 ISO 31000:2009 Risk management - Principles and guidelines

2005年6月 ISO/TMB*1/WG on Risk Management（議長：豪州，事務局：日本）が設置され，ISO 25700として開発作業を開始。

2007年4月に25700→31000に改番された。

2009年11月初版発行。

2010年9月JIS化。JIS Q 31000:2010 リスクマネジメント－原則及び指針

全ての組織、全てのリスクに適用出来るトップレベルの文書として，全てのリスクを管理するための汎用的プロセス，そのプロセスを効果的に運用するための枠組み，及びリスクマネジメントの原則を示している。

認証規格ではない。

用語はISO Guide73:2009（JIS Q 0073:2010）を参照。

*1 ISO/TMB：技術管理評議会（Technical Management Board ）のことで，TCの設置，新技術分野の業務の必要性判断と計画作成などの専門業務のマネジメント全般に責任を持つ。


リスクマネジメントの国際標準（２）

11


序文1. 適用範囲2. 用語及び定義3. 原則4. 枠組み4.1 一般4.2 指令及びコミットメント4.3 リスクの運用管理のための枠組みの設計4.4 リスクマネジメントの実践4.5 枠組みのモニタリング及びレビュー4.6 枠組みの継続的改善5. プロセス5.1 一般5.2 コミュニケーション及び協議5.3 組織の状況の確定5.4 リスクアセスメント5.5 リスク対応5.6 モニタリング及びレビュー5.7 リスクマネジメントプロセスの記録作成

出展：JIS Q 31000:2010

図１ JIS Q 31000:2010の目次


リスクマネジメントの国際標準（３）

12


a) 価値を創造するb) 組織のすべてのプロセスに

おいて丌可欠な部分c) 意思決定の一部d) 丌確かさに明確に対処するe) 体系的かつ組織的で，且つ

時宜を得ているf) 利用可能な最善の情報に

基づくg) 組織に合わせて作られているh) 人的及び文化的要素を考慮

にいれるi) 透明性があり，かつ包含的

であるj) 動的で，繰り返し行なわれ，

変化に対応するk) 組織の継続的改善及び強化

を促進する

原則

リスクの運用管理のための枠組みの設計

リスクマネジメントの実施

枠組みのモニタリング及びレビュー

枠組みの継続的改善

指令およびコミットメント

枠組み

リスクアセスメント

組織の情況の確定

リスク特定

リスク分析

リスク評価

リスク対応

コミュニケーション及び協議

モニタリング及びレビュー

プロセス

図２リスクマネジメントの原則，枠組み及びプロセスの関係

出展：JIS Q 31000:2010


リスクマネジメントの国際標準（４）

13


TR Q 0008:2003（ISO/IEC Guide 73:2002）によるリスク対応オプション：

A) リスクの最適化

B) リスクの保有

C) リスクの回避

D) リスクの移転

JIS Q 31000:2010 （ISO 31000:2009）によるリスク対応オプション：

a) リスクを生じさせる活動を開始又は継続しないことと決定することによって、リスクを回避する

b) ある機会を追求するために、そのリスクを取るまたは増加させる

c) リスク源を除去する

d) 起こりやすさを変える

e) 結果を変える

f) 一つまたはそれ以上の他者とそのリスクを共有する（契約及びリスクファイナンシングを含む）

g) 情報に基づいた意思決定によって、そのリスクを保有する

ポイント：• リスクの最適化が細分化• 移転がなくなり，共有に

図３改訂に伴うリスク対応オプションの変更内容


リスクマネジメントの国際標準（５）

14


ISO Guide 73 ISO Guide73:2009 Risk management - Vocabulary

2002年初版発行（ ISO/IEC Guide 73 Risk management - Vocabulary -Guidelines for use in standards ）

2009年11月に改訂版発行。

改訂は，ISO 31000と合わせてISO/TMB/WG on Risk Management（リスクマネジメントWG)が実施。

2010年9月JIS化。JIS Q 0073:2010 リスクマネジメント－用語

リスクの定義が「事象の発生確率と事象の結果の組み合わせ」から「目標に対して丌確さが不える影響」に変更された。

リスクマネジメントの一般領域を網羅する形で50の用語が，相関関係に基づき分類整理され，定義されている。


リスクマネジメントの国際標準（６）

15


1. リスクに関する用語 3.4 リスクアセスメントに関する用語 3.7.1.1 リスクに対する頻度3.7.1.2 リスク選好3.7.1.3 リスク許容度3.7.1.4 リスク忌避3.7.1.5 リスク集約3.7.1.6 リスク受容

1.1 リスク 3.4.1 リスクアセスメント

2. リスクマネジメントに関する用語 3.5 リスク特定に関する用語

2.1 リスクマネジメント2.1.1 リスクマネジメントの枠組み2.1.2 リスクマネジメント方針2.1.3 リスクマネジメント計画

3.5.1 リスク特定3.5.1.1 リスク記述3.5.1.2 リスク源3.5.1.3 事象3.5.1.4 ハザード3.5.1.5 リスク所有者

3.8 リスク対応に関する用語

3.8.1 リスク対応3.8.1.1 管理策3.8.1.2 リスク回避3.8.1.3 リスク共有3.8.1.4 リスクファイナンシング3.8.1.5 リスク保有3.8.1.6 残留リスク3.8.1.7 適応力

3. リスクマネジメントプロセスに関する用語

3.1 リスクマネジメントプロセス 3.6 リスク分析に関する用語

3.2 リスクコミュニケーション及び協議に関する用語

3.6.1 リスク分析3.6.1.1 起こりやすさ3.6.1.2 ばく（曝）露3.6.1.3 結果3.6.1.4 発生確率3.6.1.5 頻度3.6.1.6 ぜい（脆）弱性3.6.1.7 リスクマトリックス3.6.1.8 リスクレベル

3.2.1 コミュニケーション及び協議3.2.1.1 ステークホルダ3.2.1.2 リスク認知

3.8.2 モニタリング及び測定に関する用語

3.3 組織の状況に関する用語 3.8.2.1 モニタリング3.8.2.2 レビュー3.8.2.3 リスク報告3.8.2.4 リスク登録簿3.8.2.5 リスク特徴3.8.2.6 リスクマネジメント監査

3.3.1 組織の状況の確定3.3.1.1 外部状況3.3.1.2 内部状況3.3.1.3 リスク基準

3.7 リスク評価に関する用語

3.7.1 リスク評価

図４ JIS Q 0073:2010の用語一覧（目次順）


リスクマネジメントの国際標準（７）

16


IEC/ISO 31010 IEC/ISO 31010:2009 Risk management - Risk assessment techniques

2009年12月発行。

IEC/TC56（ディペンダビリティ）が開発

リスクアセスメントの手法について纏めたガイドライン規格

認証規格ではない。

ISO 31000のサポートする位置づけの文書。ISO 31000を適用する場合に，参照すべき規格とされている。

単なる手法の列挙ではなく，リスクアセスメント技法のタイプ分け，リスクアセスメントを実行する場合の技法の選択などについても述べている。

ISO 31004（策定中）規格化検討が決定し，開発のためのプロジェクトコミッティISO/PC262

（Risk management）が2011年に設置された。

ISO 31000実践のため指針として，Risk management - Guidance for the implementation of ISO 31000を規格化予定。詳細未定。


リスクマネジメントの国際標準（８）

17


国内規格との関係

JIS Q 2001（廃止） JIS Q 2001:2001 リスクマネジメントシステム構築のための指針

1995年の阪神・淡路大震災を契機に危機管理システム開発の検討が開始，その後，危機管理からリスクマネジメントへと適用範囲の概念が拡大され本規格となった。

2001年初版発行。

2006年定期見直しでそのまま継続と決定されたが，ISO 31000の発行及びISO/IEC Guide 73の改訂に伴い廃止。

TR Q 0008（廃止）TR Q 0008:2003 リスクマネジメント－用語－規格において使用するための

指針

2003年に発行された初版ISO/IEC Guide73のJIS化規格

2006年2月1日を以って有効期限切れにより廃止。


リスクマネジメントの国際標準（９）

18


関連するその他の取組み（参考）

マネジメントシステム規格の整合性確保への取組み ISOのマネジメントシステム規格の整合性を確保するために関連するTC等

で構成されるISO/TMB/TAG13-JTCG（合同技術調整グループ）を設置，2006年から活動を開始。

新MSS（Management System Standards）の開発として，マネジメントシステムに共通して適用する構造，テキスト及び用語を開発中。

検討中の内容は，現在新規開発中または改訂中のいくつかのマネジメント規格において並行して適用を検討中。（ISO/IEC WD 27001，ISO DIS 22301などで適用を検討中）


２情報セキュリティマネジメント（ISM）の国際標準とリスクマネジメント－ ISO/IEC 27001（JIS Q 27001）, ISO/IEC 27005 他



ISMの国際標準とリスクマネジメント（１）

20

２．２０１１年度第２回ＩＴリスク研究会

ISO/IEC 27001 ISO/IEC 27001:2005 Information technology – Security techniques –

Information security management systems – Requirements

2005年10月15日に初版発行。

2006年5月JIS化。JIS Q 27001:2006 情報技術－セキュリティ技術－情報セキュリティマネジメントシステム－要求事項

現在，ISO/IEC/JTC1 SC27/WG1にて，改定作業中（CD）。

マネジメントシステムのひとつとして，ISO/TMB/TAG13-JTCGの新MSS共通フォーマットへの適合を検討中。

ISO/IEC 27001認証制度における認証基準であり，リスクマネジメントに関する要求事項が示されている。

用語はISO Guide73:2009（JIS Q 0073:2010）を参照。

初版は， BS7799 Part2:2002*3をベースに作成された。

*3 BS7799 Part2:2002 -Information security management systems－Specification with guidance for use：情報セキュリティマネジメントシステム－仕様及び利用の手引。英国規格協会の発行した英国規格。ISO/IE 27001:2005の発行に伴い廃止された。


ISMの国際標準とリスクマネジメント（２）

21


JIS Q 27001：2005 目次

０．序文１．適用範囲２．引用規格３．用語及び定義４．情報ｾｷｭﾘﾃｨﾏﾈｼﾞﾒﾝﾄｼｽﾃﾑ５．経営陣の責任６．ISMSの内部監査７．ISMSのﾏﾈｼﾞﾒﾝﾄﾚﾋﾞｭｰ８．ISMSの改善

附属書A 管理目的と管理策（133項目）

附属書B OECD原則とこの国際規格附属書C ISO9001:2000,ISO14001:2004と

この国際規格の比較参考文献

組織にISMSを構築するための要求事項が記述されている。箇条４でPDCAに基づくISMS構築の全般的要求事項が示され，続く過剰５～８でトピック毎により詳細な要求事項を示している。リスクマネジメントに関する要求事項は，ここ（箇条４～８）で示されている。

箇条４～８の要求事項で要求されているリスクアセスメント及びリスク対応の結果に基づいて，組織ごとに選択して実行する事項。選択した管理目的及び管理策はその組織にとっての要求事項になる。

図５ JIS Q 27001の構成概要


ISMの国際標準とリスクマネジメント（３）

22


4.2.1 b) ISMS基本方針の定義

・ ISMSの確立及び維持をする、組織の戦略的なリスクマネジメントの状況と調和をとる。

・リスクを評価するに当たっての機軸を確立する[4.2.1 c) 参照]。

4.2.1 c) リスクアセスメントに対する組織の取組み方の定義

・ ISMS、情報セキュリティ、法令及び規制の要求事項に適したリスクアセスメントの方法の特定

・比較可能で、かつ、再現可能な結果を生み出すリスクアセスメントの方法，及びリスク受容基準の設定

4.2.1 d) リスクの特定

・資産（又は資産グループ）及び管理責任者の特定

・資産（又は資産グループ）に対する脅威の特定

・脅威（又は資産グループ）がつけ込むかもしれないぜい弱性の特定

・機密性、完全性及び可用性の喪失が資産（又は資産グループ）に及ぼす影響の特定

27001のリスクマネジメントに関する要求事項概要（１）（箇条４より）※簡略化のためJIS Q 27001:2006の表現を一部変更しています。

リスクは組織が保護すべき資産（又は資産グループ）に対して特定，分析され，評価される。


ISMの国際標準とリスクマネジメント（４）

23


27001のリスクマネジメントに関する要求事項概要（２）（箇条４より）

4.2.1 e) リスクの分析、評価

・セキュリティ障害に起因すると予想される，資産（又は資産グループ）の機密性、完全性又は可用性の喪失の結果を考慮した，事業的影響のアセスメントの実施。

・脅威，ぜい弱性，情報資産に関連する影響，既に実施している管理策の観点から，セキュリティ障害などの現実的な発生可能性についてアセスメントを実施。

・リスクレベルの算出。

・リスク受容基準を用いてリスクを受容できるか対応が必要か判断する。

4.2.1 f) リスク対応のための選択肢（適切な管理策の適用，受容，回避，移転）を特定し、評価する。

4.2.1 g) リスク対応のための管理目的及び管理策を選択する。

4.2.1 h) 残留リスクについて経営陣の承認を得る。

※簡略化のためJIS Q 27001:2006の表現を一部変更しています。

リスクアセスメント，対応の結果を根拠に具体的なセキュリティ管理内容がrequirementsとして決定される。（組織毎に異なる内容）


ISMの国際標準とリスクマネジメント（５）

24


ISO/IEC 27000 ISO/IEC 27000:2009 Information technology - Security techniques -

Information security management systems - Overview and vocabulary

2009年4月30日に初版発行。

ISO/IEC 27000シリーズ規格の概要，シリーズ規格において共通して使用される用語などについて規定。

マーケティング用及び教育用の文書としての性格を持ち，次のサイトで無償で配布されている。（ISOのサイトでは有償配布。）http://standards.iso.org/ittf/PubliclyAvailableStandards/

通常のISO規格の有効期限は5年で，これ毎に見直しを行なうが，ISO/IEC27000は，シリーズ規格の概要や用語について記載し，他規格から参照されるため，期限を待たず早期改訂することが提案され，推進されている。現在改訂作業中（WD）。

リスクマネジメントに関する用語もISO/IEC Guide 73:2002を参照しつつ，本シリーズ規格に独自のものは，個別に定義されている。


ISMの国際標準とリスクマネジメント（６）

25


情報セキュリティに関連する用語 2.28 基本方針2.29 予防処置2.31 プロセス

2.36 リスク分析2.37 リスクアセスメント2.38 リスクコミュニケーション2.39 リスク基準2.40 リスクの算定2.41 リスク評価2.42 リスクマネジメント2.43 リスク対応2.45 脅威2.46 脆弱性

2.2 責任追跡性2.5 認証2.6 真正性2.7 可用性2.9 機密性2.19 情報セキュリティ2.25 完全性2.27 否認防止2.33 信頼性

情報セキュリティリスクに関連する用語

2.1 アクセス制御2.3 資産2.4 攻撃2.10 管理策2.11 管理目的2.15 事象2.17 影響2.18 情報資産2.20 情報セキュリティ事象2.21 情報セキュリティインシデント2.22 情報セキュリティインシデント管理2.24 情報セキュリティリスク2.34 リスク2.35 リスク受容

マネジメントに関連する用語文書化に関連する用語

2.8 事業継続2.12 是正処置2.13 有効性2.14 効率2.16 指針2.23 情報セキュリティマネジメント

システム (ISMS)2.26 マネジメントシステム

2.30 手順2.32 記録2.44 適用宣言書

図６ ISO/IEC 27000:2009の用語一覧

２７０００の用語は，Annex B (informative) で上記の４つにカテゴライズされている。


ISMの国際標準とリスクマネジメント（７）

26


ISO/IEC 27005 ISO/IEC 27005:2011 Information technology - Security techniques -

Information security risk management

2008年6月19日に初版発行。 2011年5月19日改訂版発行。

ISO/IEC 27001及び27002に基づき，リスクマネジメントアプローチに基づく情報セキュリティの確実な実装を支援するガイダンス文書。

ISO/IEC TR 13335-3及び4:（GMITS）を統合し，ISO/IEC 13335-2（MICTS-2）に改訂中に，ISO/IEC 27000ファミリー規格化に伴い改番。

一般的リスクマネジメントに関する用語はISO Guide73:2009（JIS Q 0073:2010）を参照。

2011年に発行された改訂版は，ISO 31000:2009及びGuide 73:2009の発行に対応するもの。ISO/IEC 27001の改訂版発行にあわせて再度改訂される予定。


ISMの国際標準とリスクマネジメント（８）

27




リスク特定

リスク分析

リスク評価

リスク対応




リスク分析


リスク特定

リスク分析

リスク評価

リスク対応



リスク受容

リスク決定時点1アセスメントの十分性 Yes

リスク決定時点2リスク対応の十分性 Yes

No

No

＜2008年版＞＜2011年版＞

変更

※ ISO 31000のプロセスと同じになった

図７ 27005のリスクマネジメントプロセス（仮訳）


ISMの国際標準とリスクマネジメント（９）

28


図８ ISO/IEC 27005の目次（仮訳）

序文1. 適用範囲 2. 引用規格 3. 用語及び定義4. 規格の構成 5. 規格の背景6. 情報セキュリティリスクマネジメントプロセスの概要7. 組織の状況の確定7.1 一般的考察7.2 基本評価基準

7.2.1 リスクマネジメントアプローチ，7.2.2 リスク評価基準，7.2.3 影響（Impact）基準，7.2.4 リスク受容基準

7.3 範囲と境界7.4 情報セキュリティリスクマネジメントのための組織

8. 情報セキュリティリスクアセスメント8.1 一般記述8.2 リスクの特定

8.2.1 序文，8.2.2 資産の特定，8.2.3 脅威の特定，8.2.4 既存の管理策の特定，8.2.5 脆弱性の特定，8.2.6 結果の特定

8.3 リスク分析8.3.1 リスク分析方法論，8.3.2 結果の分析，8.3.3 インシデントの発生可能性の分析，8.3.4リスクレベルの決定

8.4 リスク評価

9. 情報セキュリティリスク対応9.1 一般記述9.2 リスクの修正9.3 リスクの保有9.4 リスクの回避9.5 リスクの共有

10. 情報セキュリティリスクの受容11. 情報セキュリティリスクコミュニケーション及び協議12 情報セキュリティリスクの監視及びレビュー12.1 リスク要因の監視及びレビュー12.2 リスクマネジメントの監視，レビュー及び改善

附属書 A (参考) 情報セキュリティマネジメントプロセスの適用範囲及び境界の定義

附属書 B (参考) 資産の特定，評価及び影響分析附属書 C (参考) 典型的な脅威の例附属書 D (参考) 脆弱性及び脆弱性分析手法附属書 E (参考) 情報セキュリティリスクアセスメントの取り

組み方附属書 F (参考) リスク修正における制約附属書 G (参考) ISO/IEC 27005:2008及びISO/IEC27005

2011間の定義の差参考文献


ISMの国際標準とリスクマネジメント（１０）

29


現状の問題点： 27000ファミリー規格の中で概念と用語に丌整合が生じている。

2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 ～

ISOGuide73

ISO31000

ISO/IEC27000

ISO/IEC27001

ISO/IEC27005

初版発行改訂版発行

初版発行

初版発行現在改定作業中

初版発行現在改定作業中

初版発行改訂版発行

参照

参照

参照

ﾘｽｸの定義：発生確率＆事象の結果ﾘｽｸの定義：丌確かさ

ﾘｽｸの定義：発生確率＆事象の結果

参照

ﾘｽｸの定義：丌確かさ




参照

27005は27001をサポートする規格でありながら，用語の定義に現在不整合が生じている。

図９不整合の例


３社会セキュリティマネジメント（SSM）の国際標準とリスクマネジメント－ ISO DIS 22301 , ISO FDIS 22313 他



SSMの国際標準とリスクマネジメント（１）

31

３．２０１１年度第２回ＩＴリスク研究会

ISO DIS 22301（策定中） ISO/DIS 22301:2010 Societal security-Preparedness and continuity

management systems－Requirements社会セキュリティ－緊急事態準備及び事業継続マネジメントシステム－要求事項（仮訳）

2008年から検討を開始し，現在ISO/TC223/WG4にて開発中（DIS）。

2012年に規格として発行予定。

全ての組織を対象とし，組織がBCM を導入し運用する際に実施すべき項目を要求事項として明示した認証規格。

企業だけでなく，公的機関，非営利組織など全ての組織が対象。（原語のタイトルでBusiness Continuityの表現が使用されていない）

リスクマネジメントに関連する内容として，ビジネスインパクト分析とリスクアセスメントに関する記述がある。

マネジメントシステムのひとつとして，ISO/TMB/TAG13-JTCGの新MSS共通フォーマットへの適合を検討中。


SSMの国際標準とリスクマネジメント（２）

32



effect of uncertainty on objectives.注記１影響とは、期待されていることからのよい方向および／または悪い方向への偏差。

注記２丌確かさは，部分的であれ，事象に関して情報が丌足している状態。事象の結果と起こりやすさの組合せは，リスクを特徴づけるために使用できる。

注記３諸目標は、例えば財務・安全衛生・環境に関する到達目標など、さまざまな側面を持ち得るものであり、戦略・組織全体・プロジェクト・製品・プロセスなどさまざまなレベルに適用できる。

ISO DIS 22301 によるリスクの定義（仮訳）

上記は，DISの仮訳であり，確定された内容でないことに留意。

定義文，及び注記１と注記３はISO Guide 73:2009が引用されている。注記２は，独自に追加された項目。

上の定義からリスクは純粋リスクに限定されない。また事業継続に係る特定のリスク（事業継続リスク）などの用語も定義されていない。


SSMの国際標準とリスクマネジメント（３）

33


リスクマネジメントに関連する活動として，ビジネスインパクト分析（Business Impact Analysis：BIA）及びリスクアセスメントがある。ビジネスインパクト分析は，業務が止まった場合の影響を分析することで，

復旧する業務の優先度付けを行い，必要なリソース配分，目標復旧時間（RTO）を決定する活動事業継続マネジメントの特徴的活動

リスクアセスメントは，優先される業務の妨げとなりうるリスクを特定，分析及び評価する活動 ISO 31000プロセスに沿った活動

リスクマネジメントのためのコミュニケーション，モニタリング及びレビュー，並びにリスク対応についての独立した記述は無いが，事業継続のためのマネジメントシステム全体としてPDCAモデルを活用しているため，その中マネジメントサイクルに含める形で記述されている。

リスクマネジメント活動については，ISO 31000のプロセスを参照。

22301のリスクマネジメントに関する記述内容（概要）


SSMの国際標準とリスクマネジメント（４）

34


ISO DIS 22313（策定中） ISO/DIS 22313:2010 Societal security-Preparedness and continuity

management systems－Requirements社会セキュリティ－緊急事態準備及び事業継続マネジメントシステム－要求事項（仮訳）

2008年から検討を開始し，現在ISO/TC223/WG4にて開発中（DIS）。

ISO 22301を解説するガイドラン規格。


SSMの国際標準とリスクマネジメント（５）

35


ISO DIS 22320 （策定中） ISO/IEC 27001:2005 Information technology – Security techniques –

Information security management systems – Requirements

現在，ISO/TC223/WG3にて改定作業中（DIS）。

危機管理に関する認証規格。

リスクマネジメント自体についての記述は無いが，特定されたリスクに対して実施すべき内容が記述されており，組織におけるリスクマネジメントの実施を前提としているといえる。

東日本大震災の発生に関連し，ISOの特別な許可によりDIS文書が次の日本規格協会HPにて掲載中。http://www.jsa.or.jp/stdz/mngment/pdf/fdis_pre22320j.pdf


参考：標準化（ISO）組織と規格の種類及び策定手順



標準化組織（ISO）（１）

37

参考

総会GA (General Assembly)

年1 回開催

理事会20 カ国Council 年2 回開催

ISO 中央事務局CS（Central Secretariat）

153 名(26 カ国から)の職員で構成

【役員】会長副会長(政策)副会長（技術管理)財務監事事務総長

政策開発委員会PDC（Policy Development Committees）

適合性評価委員会CASCO消費者政策委員会COPOLCO発展途上国対策委員会DEVCO

理事会常設委員会(Council Standing Committees)

理事会財政常設委員会CSC/FIN理事会戦略常設委員会

CSC/STRAT

アドホックアドバイザリーグループ（Ad Hoc advisory groups）

技術管理評議会TMB（Technical Management Board）

戦略諮問グループSAG専門諮問グループTAG標準物質委員会REMCO

専門委員会（TC）

分科委員会（SC）

作業グループ（WG）

アドホックグループ（AHG）

編集委員会

合同専門委員会（JTC）

作業グループ（WG）

編集委員会

分科委員会（SC）

IEC*2

*2 国際電気標準会議（International ElectrotechnicalCommission）

図１０国際標準化機構（ISO）の機構図



標準化組織（ISO）（２）

38

参考２０１１年度第２回ＩＴリスク研究会

ISO総会

TMB

セキュリティ技術SC27

図１１本稿で紹介する規格の検討組織

情報技術JTC1

IEC

合同技術調整グループ

TAG13-JTCG

リスクマネジメントWG

PC262

WG1：情報ｾｷｭﾘﾃｨﾏﾈｼﾞﾒﾝﾄｼｽﾃﾑWG2：暗号とｾｷｭﾘﾃｨﾒｶﾆｽﾞﾑWG3：ｾｷｭﾘﾃｨ評価基準WG4：ｾｷｭﾘﾃｨｺﾝﾄﾛｰﾙとｻｰﾋﾞｽWG5：ｱｲﾃﾞﾝﾃｨﾃｨ管理とﾌﾟﾗｲﾊﾞｼｰ技術

社会セキュリティTC223

ISO 31000開発及びISO Guide73改訂

ISO 31004の開発

マネジメント規格の共通構造，用語等の開発

WG1において，ISO/IEC 27000，ISO/IEC27001，ISO/IEC 27005等の開発及び改訂

ﾃﾞｨﾍﾟﾝﾀﾞﾋﾞﾘﾃｨTC56

ISO/IEC 31010の開発

WG1：ﾏﾈｼﾞﾒﾝﾄﾌﾚｰﾑﾜｰｸWG2：用語WG3：指揮・命令及び協力・協調WG4：緊急事態準備と業務継続

ﾏﾈｼﾞﾒﾝﾄWG5：ﾋﾞﾃﾞｵｻｰﾍﾞｲﾗﾝｽ

WG3において，ISO22320，WG4において，ISO22301を開発


標準（ISO）規格の種類

39


規格の種類国際規格（International Standard, IS）

加入各国のコンセンサスのプロセスを経て開発された規定文書

技術仕様書（Technical Specification, TS）

IS の発行に関する合意が将来的には可能でも直ちには得られないという条件下で，TC又はSCがNP承認時点でCDの内容での発行を妥当と判断した場合に発行される文書。

公開仕様書（Publicly Available Specification, PAS）

ISの完成に先立って発行される中間仕様書。規格としての要求事項は満たしていない。

技術報告書（Technical Report, TR）

IS とは異なる種類の情報（各会員団体で実施された調査データ，他の国際機関の作業に関するデータ，特定の主題に関する各会員団体の規格の現状調査データなど）を収集した参考のための文書

ガイド（Guide）

政策開発委員会や技術管理評議会（TMB）が設置した委員会などが作成する，広い分野，テーマを扱うガイダンス文書。


標準（ISO）規格の策定手順

40


段階内容スケジュール

提案段階新業務項目提案NPの提案⇒ NPの承認

NP提案 NP承認

作成段階 NPの登録⇒ WDのCD登録の承認

6ヶ月以内NP登録 WD承認

委員会段階 CDの登録⇒ CDのDIS登録の承認

12ヶ月以内CD登録 CD承認

照会段階 DISの登録⇒ DISのFDIS登録の承認

24ヶ月以内DIS登録 DIS承認

承認段階 FDISの登録⇒ FDISの承認

30ヶ月以内FDIS登録 FDIS承認

発行段階 FDISの登録⇒ FDISの承認

36ヶ月以内国際規格（IS）発行

NP：New work item proposalWD：Working Draft

CD：Committee Draft DIS：Draft International Standard

FDIS：Final Draft International Standard

図１２ ISO規格の策定手順


参考文献

41

[1] ISOマネジメントシステム／リスクマネジメントの標準化，日本規格協会，http://www.jsa.or.jp/stdz/mngment/risk.asp

[2] リスクマネジメントに関する国際標準規格ISO31000の活用（TRC EYE vol.266），東京海上日動リスクコンサルティング株式会社，指田朝久氏，http://www.tokiorisk.co.jp/risk_info/up_file/201004301.pdf

[3] マネジメントシステム規格の整合化動向，財団法人日本規格協会 ISO/TMB-JTCG 対応国内委員会事務局，http://www.jsa.or.jp/stdz/mngment/mngment03.asp

[4] BCM・リスク規格関連/国際規格，財団法人日本規格協会 JSA Web Store，http://www.webstore.jsa.or.jp/webstore/webstore/Top/html/jp/ad/bcmrisk_iso.pdf

[5] ISOの機構図，財団法人日本規格協会，http://www.jisc.go.jp/international/iso-structure2010.pdf

[6] リスクマネジメントと事業継続マネジメントの標準化，財団法人日本規格協会，http://www.jsa.or.jp/stdz/mngment/pdf/iso_bcm.pdf

[7] 国際標準化について，日本工業標準調査会（JISC），http://www.jisc.go.jp/international/index.html

[8] ISO暫定最終国際規格原案（preFDIS）社会セキュリティ－危機管理－危機対応に関する要求事項（22320）邦訳版，財団法人・日本規格協会， http://www.jsa.or.jp/stdz/mngment/pdf/fdis_pre22320j.pdf

[9] New ISO standard for effective management of risk，International Organization for Standardization （ISO）， http://www.iso.org/iso/pressrelease.htm?refid=Ref1266

Documents

リスクマネジメントに関連する 国際標準化動向－ISO/IEC 27001（JIS Q 27001）, ISO/IEC 27005 他 3．社会セキュリティマネジメント（SSM）の国際標準と

リスクマネジメントに関連する国際標準化動向－ISO/IEC 27001（JIS Q 27001）, ISO/IEC 27005 他 3．社会セキュリティマネジメント（SSM）の国際標準と