投稿:舩生好幸(ISACA認定CISA、IPA登録 セキュリティプレゼンター)2023.4.10
ISMS(情報セキュリティマネジメントシステム)のガイドライン・ISO/IEC27002:2013の12.3.1項「情報のバックアップ」の「実施の手引き」e)項では、
バックアップ計画の中に「バックアップに用いる媒体に対する試験と、データ復旧手順の試験の実施」を盛り込むこと、が推奨されています。
ただ、その記述はバックアップに用いる媒体を主に書かれており、”試験実施のガイドライン”と受け取るには物足りない印象を受けます。
(過去ブログ「バックアップ計画」もご参照ください。)
実は、「試験の実施」については別の箇条があります。
ISO/IEC27002:2013の17.1.3項「情報セキュリティ継続の検証,レビュー及び評価」では、
「確立及び実施した情報セキュリティ継続のための管理策が,困難な状況の下で妥当かつ有効であることを確実にするために,組織は,定められた間隔でこれらの管理策を検証すること」を推奨しています。
ここで表される「情報セキュリティ継続のための管理策」には、ここまでに述べてきた、バックアップ計画の作成や正確なバックアップ記録の取得、復旧手順の作成、等のバックアップ対策が含まれます。
「定められた間隔」は組織の任意で決めることができますが、ISMSの認証審査などで継続的に実施していると認められるためには通常、最低年1回は必要でしょう。
この17.1.3項の記述に沿って、12.3.1項で策定したバックアップ計画などの管理策を、定められた間隔で、検証=試験する、という組立てです。
つづいて17.1.3項の「管理策」では、
「組織は,次に示す方法によって,情報セキュリティマネジメントの継続を検証することが望ましい。」
とあり、以下の3項目が示されています。
(文章がやや難解と予想されるため、このブログに合わせて私なりに意訳した文章も添えます。ご参考まで。)
a) 情報セキュリティ継続のためのプロセス,手順及び管理策の機能が情報セキュリティ継続の目的と整合していることを確実にするために,これらの機能を実行し,試験する。
(当ブログに合わせた意訳)
あらかじめ定めたプロセスや手順など、情報のバックアップ対策が、情報セキュリティ継続の目的に適切であることを確かめるため、試験を行います。
(試験の結果から、目的に適わない要素は見直しを行います。)
b) 情報セキュリティ継続のためのプロセス,手順及び管理策を機能させる知識及びルーチンを実行及び試験し,そのパフォーマンスが情報セキュリティ継続の目的に整合していることを確実にする。
(当ブログに合わせた意訳)
試験を実施してそのパフォーマンス(例・バックアップから復旧したデータの正確性や妥当性、復旧に要した時間、復旧に要した稼働量)が、目的に適っている・妥当であることを確認します。
結果、試験から得られたパフォーマンスが目的に適っていない、もしくは妥当と言えない場合は見直しを行います。
(以下、c)項は変更に対応するための項目です。)
c) 情報システム,情報セキュリティのプロセス,手順及び管理策,又はBCM(事業継続マネジメント)・DRM(災害復旧管理)のプロセス及びソリューションが変更された場合には,情報セキュリティ継続のための手段の妥当性及び有効性をレビューする。
(当ブログに合わせた意訳)
情報システム、情報セキュリティ対策、事業継続マネジメント(BCM)や災害復旧管理(DRM)に変更があった場合、情報セキュリティ継続のための手段として妥当であるか、有効であるか、再確認します。
結果、必要であれば見直しを行います。
以上、章立てや文章がやや複雑ですが、情報のバックアップ対策は、困難な状況下でも有効に機能するよう、計画に沿って定期的な試験(検証)を行い、常に実効性あるものとすることが重要であり、また、
ISO/IEC27002には、そのためのガイドライン=手引きが記述されている点がご理解いただけるのではないかと思います。
実際にバックアップ対策を検討する際にもこの、ISO/IEC27002の17.1.3項「情報セキュリティ継続の検証,レビュー及び評価」を忘れずに参考とされることをお勧めします。
<ご案内>
Primary-fでは、事業者様の「人と事業を守る」ため、中小企業庁及びIPAが推進する「できるところから始めて段階的にステップアップ」の取り組みに沿った情報セキュリティ関連サービスをご提供いたします。
詳しくはこちらよりお入りください。
Comentários