ISO/IEC 27000ファミリーに関する研修

2021年3月8日から12日の5日間、AIS職員9名に対して、ISO/IEC 27000ファミリーについての集中研修を実施しました。

ISO/IEC 27000ファミリーとは、情報セキュリティマネジメントシステム（ISMS：Information Security Management System）という、情報セキュリティの管理・リスク・制御に関する体系やベストプラクティスを提供する一連の文書を定めた国際規格のことです。
ISMSは企業や政府機関等の組織が、自身の情報セキュリティを確保するために利用されます。ISMSによって、情報セキュリティを組織のリスクマネジメントの1つとして捉えて、情報の機密性・完全性・可用性をバランスよく維持し、リスクを適切に管理することを目指します。

研修では、ISO/IEC 27000シリーズを概観して、特にISO/IEC 27001（ISMSの要求事項）およびISO/IEC 27002（ISMSの実施方法）に集中的に取り組みました。また、座学のみで終わらないように、机上で以下のような演習に取り組み、自組織に対して具体的にリスク管理とセキュリティ対策を検討することで、現実感を持ってISO/IEC 27000シリーズを適用する方法を学ぶことができました。
・情報セキュリティポリシーの策定
・資産のリストアップとセキュリティ設定
・資産の情報セキュリティリスク特定
・リスクアセスメント
・部署の情報セキュリティ目標を設定と達成する方法の計画
・ISMSの監視、分析、評価に役立つ一連の測定基準と測定方法を定義
・自組織で適用している／していないセキュリティコントロールを判別
・リスクのレベルを下げるためのコントロールを選択
・リスクのレベルを低減するためのコントロールを選択した後の残留リスクの推定

ベトナムではISO/IEC 27001に限らず、セキュリティに関する国内基準を国際基準に則って制定・運用することを進めています。また、AISは自身のセキュリティリスク管理や、他の組織のISMS適用を補佐する立場にあります。そのため、この研修に参加した研修生のISO/IEC 27000シリーズに関する理解が深まったことにより、AIS自身のセキュリティのみならず、情報通信省内の関連部署や支援する組織や企業のリスクマネジメントおよび情報セキュリティ強化につながることが今後期待されます。