ISO27001
COLUMNISO規格の知識コラム(ISO27001)
ISO27001(ISMS)を企業が取得する目的は、大まかに分けて「顧客要求に応える・入札条件を満たす」というマーケティング視点の目的と、「ISO27001(ISMS)の規格要求をクリアすることで自社とその情報資産を守る」というマネジメント視点の目的が考えられます。
本記事では、まずISO27001(ISMS)という規格のそもそもの目的をご紹介し、企業活動においてその目的に則してISO27001(ISMS)を取得することによってどのようなメリットがあるのかを順番に解説いたします。
ISO27001(ISMS)(情報マネジメントシステム)とは、その名の通りISO(国際標準化機構)が定めた情報に関するマネジメントシステムの国際標準規格です。
企業が保有する情報資産の「機密性」「完全性」「可用性」という3つの項目を確立し、適切にマネジメントして有効活用するための組織の枠組み作りを目的としています。
ISO27001(ISMS)における情報の「機密性」「完全性」「可用性」は具体的には以下のように定義されています。
「機密性」
悪意のあるアクセスや利用、人的なミスを防止するための設定
「完全性」
意図せず情報が変更されてしまうことを防止するための対策
「可用性」
必要なときに必要な情報を参照するためのバックアップや複数端末の準備
では具体的にはどのように上記の目的を達成すればよいのでしょうか?
ISO27001(ISMS)構築の流れに則って見ていきましょう。
①ISO27001(ISMS)の適応範囲を決める
ISO27001(ISMS)は企業全体としてではなく、部門・部署ごとに取得することができるため、まずは任意でISO27001(ISMS)の適応範囲を決めます。
このとき、自社の業種や業態・規模、活動範囲(所在地)、適応範囲に含めない部門との関連性を考慮する必要があります。
②基本方針を決める
情報セキュリティに関する基本的な方向性や行動の指針を決定します。
ここでは、企業として情報セキュリティを構築する目的及び目標、情報資産の対象も併せて明確にします。
③リスクの評価方法を決める
自社が保有する情報がどこに存在し、それぞれどのような資産価値を持っているのかを洗い出します。いわば情報資産の棚卸し作業です。
ISO9001やISO27001(ISMS)を構築する際にもまずは現状を改めて見直して無駄を洗い出し、改善計画を立てるというステップがあります。
ISO規格の構築においてこの「洗い出し」は非常に重要かつ必要不可欠なステップであり、システム構築上のノウハウが必要になります。
④リスクの識別
ステップ③で洗い出した情報資産に対して考えられるリスクとその影響を明確にします。
ここでは、ISO27001(ISMS)において重要なファクターである「機密性」「完全性」「可用性」という3つの切り口から、情報の資産価値(=その情報が失われた場合の損害の大きさ)を評価します。
⑤リスク評価を実施
ステップ④までで洗い出し、識別した項目に対して数値を基にした定量的評価を行います。
これによって明確な管理目標値を設定することができます。
⑥リスク対応
ここまでで特定されたリスクに対する対応計画を作成します。
以上の手順で作成した対応計画を基に企業が保有する情報資産の「機密性」「完全性」「可用性」という3つの項目を確立し、適切にマネジメントして有効活用するための組織の枠組み作りという目的を実現していきます。
すでにISO27001(ISMS)を取得されている多くの企業では、ISO27001(ISMS)認証の取得を考えたきっかけは取引先からの要求や入札条件を満たすためなど、ある種「ISO27001(ISMS)を取得しないといけなかった」から取得したというお話も多く伺います。
しかし、ISO27001(ISMS)を取得すると上記のようなマーケティング視点でのメリットだけでなく、マネジメント視点でのメリットもたくさんあります。
このことをしっかりと理解し、ISO27001(ISMS)取得の目的として掲げることができるとISO取得後にもより実用的でメリットの多い運用が可能になります。
以下で考えられるマネジメント視点でのメリットをまとめましたので、ぜひご参考ください。
ISO27001(ISMS)では定期的な従業員への情報セキュリティ教育が必須となっているため、他社の情報漏洩事故の事例や起こりうる情報セキュリティ事故、情報管理における意識を学ぶことで従業員ひとりひとりの情報セキュリティ意識が高まり、事故を減らすことができます。
リスクを把握できていれば、そのリスクに対する対応計画を立てることができます。
リスクアセスメント+リスク対応計画を年に1回など定期的に行うことで、常に情報セキュリティリスクに対する事前準備ができるようになり、組織全体で適切な情報セキュリティ管理ができている状態を保つことができます。
ISO27001(ISMS)では情報を整理整頓し、必要なときに必要な情報にいつでもアクセスできるようにすることが求められています。
つまり、ISO27001(ISMS)を取得しているということは無駄な時間や手間をかけずに情報へアクセスできる状態が保たれている=業務効率がアップする、と考えられるでしょう。
ISO27001(ISMS)を取得するメリットについてはこちらの記事でさらに詳しくご説明しております。
併せてご参照ください。
特定のリスクの低減を目的として行う対策のガイドラインのことを指します。
現行の規格では、114項目の管理策(達成するための手段)が設けられており、組織の状況に合わせ各項目についての取り組み(社内の運用ルール)を策定します。
情報セキュリティ(ISMS)とは、情報の機密性・完全性・可用性を維持し、かつ、リスクを適切に管理することを言います。
そもそも情報セキュリティリスクとは、目的に対する不確かな影響のことを指します。
そしてその中でも代表的なリスクとして、「脅威」と「脆弱性」の二つがあります。
「脅威」とは、情報の盗難や不正利用など、情報セキュリティにおけるリスクを発生させる要因のことを言います。
「脆弱性」とは、脅威の発生を誘引するようなセキュリティ対策上の欠落点のことを言います。
対象となる範囲が異なります。
Pマーク(PMS)は個人情報が対象となり、ISO27001(ISMS)は組織や企業が所持している情報資産(個人情報も含まれうる)が対象となります。
範囲で言うとISO27001(ISMS)の方が多岐にわたります。
SNSでシェアする
株式会社GCERTI-JAPANは
ISO審査機関です。
コラムの内容やISOに関することでお困りの際はお気軽にご相談ください。
ISO審査員がお答えします。
主に品質マネジメントシステム/環境マネジメントシステムの審査員として活動しています。 豊富な規格知識でISOのポイントをお客様としっかり共有しながらも、固くなり過ぎない雰囲気でコミュニケーションの取りやすい審査を心がけています。 またあなたにお願いしたい、と思って頂けるような審査を心がけています。
お問い合わせはこちら
の2022年版規格改定について詳しく解説します!.png.webp)
