ISO27001 情報セキュリティマネジメントシステム
Ⅰ. ISO27001とは
企業など組織運営活動における基盤のIT(情報技術)への依存度が高まるにつれて、機密情報や個人情報の大規模あるいは広範囲な漏えい、ネットワーク犯罪等が相次いで発生しており、経営上あるいは社会的な問題として大きな影響を与えています。情報セキュリティは、企業等組織の経営管理の重要課題となっています。
組織の運営にとって、「情報(Information)」は“人・物・金”と同様に重要な経営資源です。また同時に「情報」は、漏えい、破壊などのリスクを常に背負っています。 今や、様々なリスクを回避し、「情報」を有効に活用することは組織の円滑な運営に必須となっています。
ISO27001は、組織全体で「情報」を管理し、様々なリスクを低減して、「情報」を効率的に利用できるようにするための仕組みです。
Ⅱ. ISO27001の内容
ISO27001は、情報セキュリティマネジメントシステム(ISMS=Information Security Management System)の国際標準規格として2005年10月に発行され、その後、ISOにおいてMSSの上位構造(High Level Structure)、共通テキスト(Identical Core Text)及び共通用語・定義が開発されたことにより、2013年10月1日に第2版、2022年10月25日に第3版に改定されました。
ISO27001では、組織が持つ「情報」について「機密性・完全性・可用性」(下記参照)という3要素をバランスよく維持管理することが求められています。
まず、保有する「情報」とそのリスクの洗い出しを行います。そして、リスク低減のためのセキュリティ対策を計画し、実施します。次いでその効果を評価し、管理方法を見直します。一連の活動は、「Plan(計画)、Do(実施)、Check(点検)、Act(処置)」という PDCA で実施し、継続的に情報セキュリティの実績を改善していきます。PDCAサイクルはISO9001(品質マネジメントシステム)やISO14001(環境マネジメントシステム)といった、他のマネジメントシステムとの共通した考え方です。
■ 機密性 : 許可者以外に情報が使用または公開されないようにする
■ 完全性 : 情報の正確さを保護するために作成や編集を制限する
■ 可用性 : 必要な情報が必要なときに利用できるようにする
(表1)ISO27001の要求事項
| 条項番号 | 要求事項 | |
| 4. 組織の状況 | 4.1 | 組織及びその状況の理解 |
| 4.2 | 利害関係者のニーズ及び期待の理解 | |
| 4.3 | 情報セキュリティマネジメントシステムの適用範囲の決定 | |
| 4.4 | 情報セキュリティマネジメントシステム | |
| 5.リーダーシップ | 5.1 | リーダーシップ及びコミットメント |
| 5.2 | 方針 | |
| 5.3 | 組織の役割、責任及び権限 | |
| 6. 計画 | 6.1 | リスク及び機会に対処する活動 |
| 6.2 | 情報セキュリティ目的及びそれを達成するための計画策定 | |
| 6.3 | 変更の計画策定 | |
| 7. 支援 | 7.1 | 資源 |
| 7.2 | 力量 | |
| 7.3 | 認識 | |
| 7.4 | コミュニケーション | |
| 7.5 | 文書化された情報 | |
| 8. 運用 | 8.1 | 運用の計画及び管理 |
| 8.2 | 情報セキュリティリスクアセスメント | |
| 8.3 | 情報セキュリティリスク対応 | |
| 9. パフォーマンス評価 | 9.1 | 監視、測定、分析及び評価 |
| 9.2 | 内部監査 | |
| 9.3 | マネジメントレビュー | |
| 10. 改善 | 10.1 | 継続的改善 |
| 10.2 | 不適合及び是正処置 | |
| 附属書A(規定) | 情報セキュリティ管理策 | |
Ⅲ. ISO27001認証取得のメリット
- 情報セキュリティに関して社会的な信用確保、企業イメージの向上
- 顧客、取引先との信頼確立
- 新規顧客開拓に必要な要件
- 個人情報保護法等のコンプライアンス(法令順守)の徹底
- 組織内の「情報」に対する意識高揚、情報漏えいの未然防止
- 組織の「情報」管理システムの確立
- 官公庁の情報関連業務の入札条件となる場合に有効
Ⅳ. ISO27001認証取得までの特徴
- 業態に合った適切な情報資産の取扱いができる体制作りを目指します。
- 情報資産の取扱いに関連するリスク分析 及び 評価をどのように実施すれば良いか、また業態に合った運営体制確立に向けてのアドバイスを行ないます。
- 情報資産を業務上活用することを前提とした、取扱い要領・ルール等を明確にした上で、他のマネジメントシステム(ISO9001、ISO14001、JISQ15001等)と整合した効率的なマネジメントシステムの確立を目指すアドバイスを行ないます。
- 主だった規定文書類は参考としてサンプル文書を活用し、文書作成作業の負荷軽減を図るとともに、無理・無駄のないマネジメントシステムの構築を支援いたします。文書の作成は、コンサルタントと共同にて作成します。
Ⅴ. ISO27001認証取得までの流れ
(表2)認証取得スケジュール例
| 支援項目 / 活動項目 | 経過月 | |||||||||||
| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | |
| ISO27001規格要求事項の理解 | ■ | |||||||||||
| 組織の状況の理解 | ■ | |||||||||||
| 情報セキュリティ方針・目標の策定 | ■ | |||||||||||
| 文書作成(システム構築) | ■ | ■ | ■ | ■ | ||||||||
| ・情報セキュリティマニュアルの作成 | ■ | ■ | ■ | ■ | ||||||||
| ・規定・手順類の作成 | ■ | ■ | ||||||||||
| リスクアセスメント | ■ | ■ | ■ | ■ | ||||||||
| ・資産の洗い出し、リスク分析 | ■ | ■ | ■ | |||||||||
| ・リスク対応、管理策の選定 | ■ | ■ | ||||||||||
| ・適用宣言書の作成 | ■ | ■ | ||||||||||
| システム運用 | ★ | ★ | ★ | ★ | ★ | ★ | ★ | ★ | ||||
| システム教育(運用状況チェック) | ■ | ■ | ■ | ■ | ■ | |||||||
| ・内部監査員養成(2日間) | ■ | |||||||||||
| ・内部監査実施 | ★ | |||||||||||
| ・マネジメントレビュー | ★ | |||||||||||
| 審査対策 | ■ | ■ | ||||||||||
| 審査後のフォロー | ■ | |||||||||||
| ■:コンサルタントが支援 ★:貴社が実施 ●:審査対応 | ||||||||||||
| 申請 | ● | |||||||||||
| 登録1次審査 | ● | |||||||||||
| 登録2次審査 | ● | |||||||||||
| 認証取得 | ● | |||||||||||
Ⅴ. プライバシーマークとの関係
プライバシーマークとの関係
プライバシーマークは、JISQ15001規格に適合して、「個人情報」について適切な保護措置を講ずる体制を整備している事業者等を認定して、その旨を示すプライバシーマークを付与し、事業活動に関してプライバシーマークの使用を認める日本の制度です。
一方、ISO27001は「個人情報」を含めた「情報資産全般」の安全のための国際規格です。(図1)でプライバシーマークとISO27001がカバーする範囲を表しています。
いずれも、組織全体で実施するマネジメントシステムで、リスク評価、PDCAが基本となっています。
ただし、プライバシーマークの付与は事業者単位(法人単位)でしか認められませんが、ISO27001では部門、事業所での認証取得も可能となっています。
(ISO27001と他のマネジメントシステムとの文書共有・スリム化については、コンサルティング事例をご覧ください。)
(図1)
