ISO27001
COLUMNISO規格の知識コラム(ISO27001)
ISO27001は、情報セキュリティマネジメントシステム(ISMS)に関する国際規格です。
情報セキュリティマネジメントシステム(ISMS)とは、具体的には情報の機密性・完全性・可用性の3つについてマネジメントし、情報を有効活用するための組織の枠組みの事です。
さて、そのISO27001(ISMS)では何を求められているのでしょうか。
今回のコラムではISO27001(ISMS)の規格要求事項について解説致します。
「要求事項」とは、ISO27001(ISMS)という規格の中で求められているISO27001(ISMS)取得の為に企業が実現するべきである要件の事です。
ISO27001(ISMS)の取得をする為にはこの要求事項の要件を満たしておかなければなりません。
ISO27001(ISMS)の要求事項では、製品やサービスの仕組みや管理方法などのプロセスがきちんと動いているのかを判断します。
ISO27001(ISMS)の規格の具体的な要求事項は以下の通りです。
これに加えて付属書A(管理策)も求められます。(詳細は後述致します。)
0~10項までの項目はISO27001(ISMS)本文で求められるもので、どのような組織でも必ず適用させる事が求められる内容となります。
その中で特に肝となるのが、「情報セキュリティリスクアセスメント」と呼ばれるものです。
情報セキュリティリスクアセスメントとは、
の3つのプロセス全体の事を指します。
それぞれ詳しく見てみましょう。
リスクを見つける・リスクの洗い出しをすること、要するに「どんな危険性があるのか」を確認するということです。
普段の業務の中で「大切な情報だな」と感じるものを洗い出す事で、その洗い出したものが大事な資産であると気が付くことができます。
そしてその大事な資産に対してどんな危険性が潜んでいるのかをまずは把握していきましょう。
「1)リスク特定」で見つけたリスクに
を調べて分析することです。
「2)リスク分析」で調べて分析をした結果を元に、そのリスクをどうするのか・どのリスクを優先的に対応をしていくのかの判断材料を集めることです。
組織の中で検討して最優先で対応をするべきか、それとも一旦据え置いても現状問題がないのか等、様々な対応や優先順位の付け方があると思います。
以上3つのプロセスを実施することで社内のリスクの全容を把握することが出来ます。
つまりリスクアセスメントとは、「自分の会社にとってどのようなリスクがあるのか?」を見つけ、「その発見したリスクがどの程度社内に影響があるのか?」を分析する。
そして自社にとっての重要度を把握した上で、そのリスクに対してどう対策をしていくのかを決める活動のことです。
管理策とは、特定のリスクを低減させる事を目的として行う対策のガイドラインのようなものです。
先述のリスク評価をしたリスクに対しての対応策として、どの管理策を当てはめて対応していくのかを決めます。
管理策は全部で114項目ありますが、全てを必ず適用させなければならないという事はありません。
組織内の適用業務の範囲内で該当する内容に関して、適用をさせればOKです。
管理策の各項目の内容は、
等々、多岐にわたります。
そしてどの項目が適用であるか、どの項目が適用ではないかを記したものが「適用宣言書」です。
適用宣言書はISO27001(ISMS)規格の中で文書化するように求められているため作成が必要となりますが、自社が抱えるリスクへの対応策が何であるのか、何を実施しているのかが見える化されていると把握管理もしやすくなります。
ISO27001(ISMS)取得のためだけでなく、組織の情報セキュリティマネジメントを行っていく上で是非ご活用いただければと思います。
————————————————
今回はISO27001(ISMS)規格の要求事項について、特に主となるポイントを解説させていただきました。
特に管理策はボリュームのあるものではありますが、本記事がISO27001(ISMS)規格ってこんな感じの事が求められているんだな、とざっくりでもご認識頂くための一助となれば幸いです。
特定のリスクの低減を目的として行う対策のガイドラインのことを指します。
現行の規格では、114項目の管理策(達成するための手段)が設けられており、組織の状況に合わせ各項目についての取り組み(社内の運用ルール)を策定します。
情報セキュリティ(ISMS)とは、情報の機密性・完全性・可用性を維持し、かつ、リスクを適切に管理することを言います。
そもそも情報セキュリティリスクとは、目的に対する不確かな影響のことを指します。
そしてその中でも代表的なリスクとして、「脅威」と「脆弱性」の二つがあります。
「脅威」とは、情報の盗難や不正利用など、情報セキュリティにおけるリスクを発生させる要因のことを言います。
「脆弱性」とは、脅威の発生を誘引するようなセキュリティ対策上の欠落点のことを言います。
対象となる範囲が異なります。
Pマーク(PMS)は個人情報が対象となり、ISO27001(ISMS)は組織や企業が所持している情報資産(個人情報も含まれうる)が対象となります。
範囲で言うとISO27001(ISMS)の方が多岐にわたります。
ISO27001(ISMS)を認証取得していることは、組織内の仕組み・取り組みの品質保証に繋がります。
情報セキュリティが甘いと攻撃や情報漏洩のリスクが高まります。
そしてそういった事態は一度起こってしまうと取り返しがつかず、組織の信用回復も難しいでしょう。
そのため、行政の入札や大手顧客との取引でISO27001(ISMS)の取得が必須要件とされることが非常に増えてきています。
ISO27001(ISMS)は内部の仕組み改善だけでなく、対外的な信用を得る上でも非常に重要な存在としての認識が高まってきています。
SNSでシェアする
株式会社GCERTI-JAPANはISO審査機関(ISO認証機関)です。
ISO9001・ISO14001・ISO27001・ISO45001に関する審査及び審査に関するセミナー・研修の企画、運営についてお困りの際はお気軽にご相談ください。経験豊富な現役のISO審査員がお応え致します。
最後までお読みいただきありがとうございました。
品質マネジメントシステム・情報セキュリティマネジメントシステム審査員として活動を行っています。 業界の話題や知識、他社事例などをベースに、丁寧で実直な審査を心がけています。 組織の課題やお悩みについてお気軽にお聞かせ下さい。
お問い合わせはこちら
