前提としてインシデントが発生した際、以下を検討することが必要です。
- 事業を継続させるためにどうするか
- その手段(リスク対応)は低減、回避、移転、保有のどれを選択するか
例えばAWSをご利用で、長期間障害の発生を想定した場合、事業を継続させるために以下の手段が考えられます
- リスク低減:AWS以外にもバックアップを保有し、別インフラを構築しサービスを再開させる
- リスク回避:そもそも自社インフラに切り替え、可用性を向上させる
- リスク移転:事前に保険に加入することで、サービス再開後はコスト面で機動的にリカバリ対応ができる状態にしておく
- リスク保有:事業において限定的な影響と判断し、AWSが復旧するまで待つことを受容する
改めて、ISMSにおける情報セキュリティ継続は、上記のような「急場であっても、御社の情報資産は守れる状況にあるか」という観点が必要です。
しかし、結論「AWSの復旧を待つことが最善」と判断される場合でも、検討した結果を記録してマネジメントレビューを受けていただければ、ISMSの進め方としては問題ありません。記録方法は、社内ルールでの管理策不採用(適用宣言書の除外)の理由や、内部監査結果に対する是正処置など、状況に応じて使い分けください。