ISO27001 COLUMNISO規格の知識コラム(ISO27001)
ISO27001 コラム
ISO27001は、情報セキュリティマネジメントシステム(ISMS)に関する国際規格です。
情報セキュリティマネジメントシステム(ISMS)とは、具体的には情報の機密性・完全性・可用性の3つについてマネジメントし、情報を有効活用するための組織の枠組みの事です。
さて、そのISO27001(ISMS)では何を求められているのでしょうか。
今回のコラムではISO27001(ISMS)の規格要求事項について解説致します。
ISO・ISMS審査に関するご質問は
お気軽にお問い合わせください!お問い合わせフォーム
「要求事項」とは、ISO27001(ISMS)という規格の中で求められているISO27001(ISMS)取得の為に企業が実現するべきである要件の事です。
ISO27001(ISMS)の取得をする為にはこの要求事項の要件を満たしておかなければなりません。
ISO27001(ISMS)の要求事項では、製品やサービスの仕組みや管理方法などのプロセスがきちんと動いているのかを判断します。
ISO27001(ISMS)の規格の具体的な要求事項は以下の通りです。
これに加えて付属書A(管理策)も求められます。(詳細は後述致します。)
0~10項までの項目はISO27001(ISMS)本文で求められるもので、どのような組織でも必ず適用させる事が求められる内容となります。
その中で特に肝となるのが、「情報セキュリティリスクアセスメント」と呼ばれるものです。
情報セキュリティリスクアセスメントとは、
の3つのプロセス全体の事を指します。
それぞれ詳しく見てみましょう。
リスクを見つける・リスクの洗い出しをすること、要するに「どんな危険性があるのか」を確認するということです。
普段の業務の中で「大切な情報だな」と感じるものを洗い出す事で、その洗い出したものが大事な資産であると気が付くことができます。
そしてその大事な資産に対してどんな危険性が潜んでいるのかをまずは把握していきましょう。
「1)リスク特定」で見つけたリスクに
を調べて分析することです。
「2)リスク分析」で調べて分析をした結果を元に、そのリスクをどうするのか・どのリスクを優先的に対応をしていくのかの判断材料を集めることです。
組織の中で検討して最優先で対応をするべきか、それとも一旦据え置いても現状問題がないのか等、様々な対応や優先順位の付け方があると思います。
以上3つのプロセスを実施することで社内のリスクの全容を把握することが出来ます。
つまりリスクアセスメントとは、「自分の会社にとってどのようなリスクがあるのか?」を見つけ、「その発見したリスクがどの程度社内に影響があるのか?」を分析する。
そして自社にとっての重要度を把握した上で、そのリスクに対してどう対策をしていくのかを決める活動のことです。
管理策とは、特定のリスクを低減させる事を目的として行う対策のガイドラインのようなものです。
先述のリスク評価をしたリスクに対しての対応策として、どの管理策を当てはめて対応していくのかを決めます。
管理策は全部で114項目ありますが、全てを必ず適用させなければならないという事はありません。
組織内の適用業務の範囲内で該当する内容に関して、適用をさせればOKです。
管理策の各項目の内容は、
等々、多岐にわたります。
そしてどの項目が適用であるか、どの項目が適用ではないかを記したものが「適用宣言書」です。
適用宣言書はISO27001(ISMS)規格の中で文書化するように求められているため作成が必要となりますが、自社が抱えるリスクへの対応策が何であるのか、何を実施しているのかが見える化されていると把握管理もしやすくなります。
ISO27001(ISMS)取得のためだけでなく、組織の情報セキュリティマネジメントを行っていく上で是非ご活用いただければと思います。
今回はISO27001(ISMS)規格の要求事項について、特に主となるポイントを解説させていただきました。
特に管理策はボリュームのあるものではありますが、本記事がISO27001(ISMS)規格ってこんな感じの事が求められているんだな、とざっくりでもご認識頂くための一助となれば幸いです。
SNSでシェアする
株式会社GCERTI-JAPANは
ISO審査機関です。
コラムの内容やISOに関することでお困りの際はお気軽にご相談ください。
ISO審査員がお答えします。
品質マネジメントシステム・情報セキュリティマネジメントシステム審査員として活動を行っています。 業界の話題や知識、他社事例などをベースに、丁寧で実直な審査を心がけています。 組織の課題やお悩みについてお気軽にお聞かせ下さい。
お問い合わせはこちら
