ISO27001
COLUMNISO規格の知識コラム(ISO27001)

ISO27001

ISO27001(ISMS)の規格要求事項とは?

2022.03.03
ISO27001(ISMS)の規格要求事項とは?

ISO27001は、情報セキュリティマネジメントシステム(ISMS)に関する国際規格です。
情報セキュリティマネジメントシステム(ISMS)とは、具体的には情報の機密性・完全性・可用性の3つについてマネジメントし、情報を有効活用するための組織の枠組みの事です。

さて、そのISO27001(ISMS)では何を求められているのでしょうか。
今回のコラムではISO27001(ISMS)の規格要求事項について解説致します。

GCERTIのISO27001(ISMS)審査は審査がスピーディ・審査料が安い・お客様の負担が少ない

ISO27001(ISMS)の規格要求事項とは?

要求事項」とは、ISO27001(ISMS)という規格の中で求められているISO27001(ISMS)取得の為に企業が実現するべきである要件の事です。

ISO27001(ISMS)の取得をする為にはこの要求事項の要件を満たしておかなければなりません。
ISO27001(ISMS)要求事項では、製品やサービスの仕組みや管理方法などのプロセスがきちんと動いているのかを判断します。

ISO27001(ISMS)の規格の具体的な要求事項は以下の通りです。

  • 0項  序文
  • 1項  適用範囲
  • 2項  引用規格
  • 3項  用語及び定義
  • 4項  組織の状況
  • 5項  リーダーシップ
  • 6項  計画
  • 7項  支援
  • 8項  運用
  • 9項  パフォーマンス評価
  • 10項 改善

これに加えて付属書A(管理策)も求められます。(詳細は後述致します。)

0~10項までの項目はISO27001(ISMS)本文で求められるもので、どのような組織でも必ず適用させる事が求められる内容となります。
その中で特に肝となるのが、「情報セキュリティリスクアセスメント」と呼ばれるものです。

情報セキュリティリスクアセスメント

情報セキュリティリスクアセスメントとは、

  1. リスク特定
  2. リスク分析
  3. リスク評価

の3つのプロセス全体の事を指します。
それぞれ詳しく見てみましょう。

1)リスク特定

リスクを見つける・リスクの洗い出しをすること、要するに「どんな危険性があるのか」を確認するということです。

普段の業務の中で「大切な情報だな」と感じるものを洗い出す事で、その洗い出したものが大事な資産であると気が付くことができます。
そしてその大事な資産に対してどんな危険性が潜んでいるのかをまずは把握していきましょう。

2)リスク分析

「1)リスク特定」で見つけたリスクに

  • どんな特性があるのか
  • どの程度の影響を持っているのか
  • どの範囲まで影響が及ぶのか

を調べて分析することです。

3)リスク評価

「2)リスク分析」で調べて分析をした結果を元に、そのリスクをどうするのか・どのリスクを優先的に対応をしていくのかの判断材料を集めることです。

組織の中で検討して最優先で対応をするべきか、それとも一旦据え置いても現状問題がないのか等、様々な対応や優先順位の付け方があると思います。

以上3つのプロセスを実施することで社内のリスクの全容を把握することが出来ます。

つまりリスクアセスメントとは、「自分の会社にとってどのようなリスクがあるのか?」を見つけ、「その発見したリスクがどの程度社内に影響があるのか?」を分析する。
そして自社にとっての重要度を把握した上で、そのリスクに対してどう対策をしていくのかを決める活動のことです。

管理策

管理策とは、特定のリスクを低減させる事を目的として行う対策のガイドラインのようなものです。
先述のリスク評価をしたリスクに対しての対応策として、どの管理策を当てはめて対応していくのかを決めます。

管理策は全部で114項目ありますが、全てを必ず適用させなければならないという事はありません。
組織内の適用業務の範囲内で該当する内容に関して、適用をさせればOKです。

管理策の各項目の内容は、

  • テレワークに関する事
  • システム開発に関する事
  • データのバックアップに関する事
  • マルウェアに関する事
  • 外部委託に関する事

等々、多岐にわたります。
そしてどの項目が適用であるか、どの項目が適用ではないかを記したものが「適用宣言書」です。

適用宣言書はISO27001(ISMS)規格の中で文書化するように求められているため作成が必要となりますが、自社が抱えるリスクへの対応策が何であるのか、何を実施しているのかが見える化されていると把握管理もしやすくなります。

ISO27001(ISMS)取得のためだけでなく、組織の情報セキュリティマネジメントを行っていく上で是非ご活用いただければと思います。

————————————————

今回はISO27001(ISMS)規格の要求事項について、特に主となるポイントを解説させていただきました。

特に管理策はボリュームのあるものではありますが、本記事がISO27001(ISMS)規格ってこんな感じの事が求められているんだな、とざっくりでもご認識頂くための一助となれば幸いです。

  • SNSでシェアする

株式会社GCERTI-JAPANはISO審査機関(ISO認証機関)です。
ISO9001・ISO14001・ISO27001・ISO45001に関する審査及び審査に関するセミナー・研修の企画、運営についてお困りの際はお気軽にご相談ください。経験豊富な現役のISO審査員がお応え致します。

最後までお読みいただきありがとうございました。

稲岡 久美子
稲岡 久美子ISO審査員

品質マネジメントシステム・情報セキュリティマネジメントシステム審査員として活動を行っています。 業界の話題や知識、他社事例などをベースに、丁寧で実直な審査を心がけています。 組織の課題やお悩みについてお気軽にお聞かせ下さい。

お問い合わせはこちら
お問い合わせはこちら
見積もり依頼 お問い合わせ
展示会限定特典あり!CSPI EXPOに
出展致します
詳細はこちら
Social media & sharing icons powered by UltimatelySocial