ISO27001 COLUMNISO規格の知識コラム(ISO27001)
ISO27001 コラム
ISO27001は、情報セキュリティマネジメントシステム(ISMS)に関する国際規格です。
情報セキュリティマネジメントシステム(ISMS)とは、具体的には情報の機密性・完全性・可用性の3つについてマネジメントし、情報を有効活用するための組織の枠組みの事です。
さて、そのISO27001(ISMS)では何を求められているのでしょうか。
今回のコラムではISO27001(ISMS)の規格要求事項について解説致します。
ISO・ISMS審査に関するご質問は
お気軽にお問い合わせください!お問い合わせフォーム
「ISO27001」は情報セキュリティの国際規格です。
保有する情報資産を管理し、継続的に改善することを目的としています。
「ISMS」も多くの場合同じ意味で使われます。同じと考えてもよいでしょう。
厳密には、ISMSはISO27001認証のために構築する情報セキュリティマネジメントシステムを指します。
つまり規格とシステムという違いがあります。
ISMSの構築は、情報の「機密性」「完全性」「可用性」の3つの要素がポイントとなります。
「機密性」
認可を受けている人だけが情報を確認できるよう制限をかけることを指します。
「完全性」
情報を不正な改ざんから保護してすべての情報が欠損なく最新の状態で維持されることです。
「可用性」
認可されている人がいつでも必要な時に安全に閲覧したり編集したりできる状態のことです。
上記の3つは情報セキュリティの3要素と呼ばれ、ISMS構築においても重要となります。
「要求事項」とは、ISO27001(ISMS)という規格の中で求められているISO27001(ISMS)取得の為に企業が実現するべきである要件の事です。
ISO27001(ISMS)の取得をする為にはこの要求事項の要件を満たしておかなければなりません。
ISO27001(ISMS)の要求事項では、製品やサービスの仕組みや管理方法などのプロセスがきちんと動いているのかを判断します。
ISO27001(ISMS)の規格の具体的な要求事項は以下の通りです。
これに加えて付属書A(管理策)も求められます。(詳細は後述致します。)
0~10項までの項目はISO27001(ISMS)本文で求められるもので、どのような組織でも必ず適用させる事が求められる内容となります。
その中で特に肝となるのが、「情報セキュリティリスクアセスメント」と呼ばれるものです。
情報セキュリティリスクアセスメントとは、「リスク特定」「リスク分析」「リスク評価」の一連の流れのことをいいます。
以下、要求事項について一つずつ見ていきましょう。
順に見ていくとわかりますが、ISMSは業務改善でよく用いられる手法であるPDCAの考えが反映されています。
なお0~3項は具体的な要求事項ではないので省略します。
組織の内情と周囲の状況や課題、利害関係者のニーズを把握したうえで、ISMSの適用範囲を決定することが要求されています。
利害関係者には社員や取引先、近隣住民などが該当します。
適用範囲は文書化して管理することが必要です。
トップマネジメントがリーダーシップを発揮してコミットメント(達成することを確約すること)を行い、ISMSを構築することを要求しています。
トップマネジメントとは組織を指揮する最高責任者のことです。
PDCAのPに当たり、情報セキュリティ目的を実現するための計画を立てることが求められます。
リスク基準を確立し、リスクの特定・分析・評価を行うリスクアセスメントの手順を定めることが必要です。
担当者に求める力量を決定し、不足している場合は教育などの支援を行うことが要求されます。
ISMSに必要な知識などの資源を明確にし、その資源が組織内に確実に供給されるよう担当者に教育を行わなくてはなりません。
PDCAのDに当たり、リスクアセスメントとリスク対応の計画を実施・管理することが求められます。
実施だけでなく管理まで含まれるため、計画通り実行できているのかや確認が取れる状態になっているのかも文書にする必要があります。
PDCAのCに当たり、活動を評価・記録することが求められます。
そのための基準やプロセスなどを定めることが必要です。
またトップマネジメントが行うマネジメントレビューや、決められたとおりにできているか、ルールが有効かをチェックする内部監査についての定めもあります。
PDCAのAに当たり、是正処置の手順を明確にするとともに、不適合が発生した場合に速やかに対処して結果を把握・フォロー・記録することなどが要求されています。
さらに一連のプロセスを通じて情報セキュリティの改善を行うことも必要です。
情報セキュリティリスクアセスメントとは、
の3つのプロセス全体の事を指します。
それぞれ詳しく見てみましょう。
リスクを見つける・リスクの洗い出しをすること、要するに「どんな危険性があるのか」を確認するということです。
普段の業務の中で「大切な情報だな」と感じるものを洗い出す事で、その洗い出したものが大事な資産であると気が付くことができます。
そしてその大事な資産に対してどんな危険性が潜んでいるのかをまずは把握していきましょう。
「1)リスク特定」で見つけたリスクに
を調べて分析することです。
「2)リスク分析」で調べて分析をした結果を元に、そのリスクをどうするのか・どのリスクを優先的に対応をしていくのかの判断材料を集めることです。
組織の中で検討して最優先で対応をするべきか、それとも一旦据え置いても現状問題がないのか等、様々な対応や優先順位の付け方があると思います。
以上3つのプロセスを実施することで社内のリスクの全容を把握することが出来ます。
つまりリスクアセスメントとは、「自分の会社にとってどのようなリスクがあるのか?」を見つけ、「その発見したリスクがどの程度社内に影響があるのか?」を分析する。
そして自社にとっての重要度を把握した上で、そのリスクに対してどう対策をしていくのかを決める活動のことです。
リスクアセスメントの手法については、下記の記事で詳しく解説しています。
ISMSにおけるリスクアセスメントとは?情報セキュリティ対策を具体的に解説
管理策とは、特定のリスクを低減させる事を目的として行う対策のガイドラインのようなものです。
先述のリスク評価をしたリスクに対しての対応策として、どの管理策を当てはめて対応していくのかを決めます。
管理策は全部で93項目ありますが、全てを必ず適用させなければならないという事はありません。
組織内の適用業務の範囲内で該当する内容に関して、適用をさせればOKです。
管理策の各項目の内容は、
等々、多岐にわたります。
そしてどの項目が適用であるか、どの項目が適用ではないかを記したものが「適用宣言書」です。
適用宣言書はISO27001(ISMS)規格の中で文書化するように求められているため作成が必要となりますが、自社が抱えるリスクへの対応策が何であるのか、何を実施しているのかが見える化されていると把握管理もしやすくなります。
ISO27001(ISMS)取得のためだけでなく、組織の情報セキュリティマネジメントを行っていく上で是非ご活用いただければと思います。
今回はISO27001(ISMS)規格の要求事項について、特に主となるポイントを解説させていただきました。
PDCAは多くの企業においても日常的な業務でもなじみのある考え方だと思います。
ISMSの構築も同じ考えがベースになっているとわかれば、イメージしやすいのではないでしょうか。
そして一連のプロセスの中でも、情報セキュリティリスクアセスメントが重要だという点はぜひ理解しておいてください。
全編を通してみると特に管理策はボリュームのあるものではありますが、本記事がISO27001(ISMS)規格ってこんな感じの事が求められているんだな、とざっくりでもご認識頂くための一助となれば幸いです。
SNSでシェアする
株式会社GCERTI-JAPANは
ISO審査機関です。
コラムの内容やISOに関することでお困りの際はお気軽にご相談ください。
ISO審査員がお答えします。
一審査員として、社会貢献ができるよう努めてまいります。 また、営業面ではお客様にとって、より良い提案ができるよう、お客様とのコミュニケーションを大事にしております。
お問い合わせはこちら