ISO27001(ISMS)は、情報資産を守り、安全に事業を展開する仕組みです
ISMSは企業内にある情報資産が漏洩したり、改ざんされたりするリスクから保護する設備や対策を整え、安全に事業を展開する仕組みのことです。
2005年にはISMS ver2.0から正式に国際規格であるISO27001へと規格の改定が行われました。改定のポイントは、1.マネジメントシステムの「有効性」が問われるようになった。2.詳細管理策が統廃合され、わかりやすくなった、の2点です。
ISO27001(ISMS)とは?
情報セキュリティマネジメントに対する第三者適合性評価制度の基準となる規格のことで、いかにして企業の情報を守り、効果的に活用できる社内体制を構築するか、を目的としています。
ISMS適合性評価制度
国内のみならず諸外国からも信頼を得られる情報セキュリティレベルを達成することを目的として、2002年4月より運用が開始された評価制度です。
認証取得の必要性
ISMSは、外部からの不正アクセスによる改ざん・流出などのリスクへの対応はもちろん、組織の情報価値や利用性を高めることを効果的かつ効率的にマネジメントするものです。
認証取得のメリット
情報セキュリティに関するリスクを減少させることができます。第三者の客観的な評価を得ているということになりますので、取引先企業や顧客からの信用を得ることができます。
旧ISMSとの違い
記述内容に変更はありませんが、その重要性を考慮した結果、内部監査の項目がマネジメントレビューの章から独立して、単独の章立てとなりました。
プライバシーマークとの違い
ISMSが対象部門の情報資産と情報セキュリティ対策を全般的に扱うのに対し、プライバシーマークは情報資産のうち個人情報に特化した保護とセキュリティを対象にしています。
情報セキュリティとは?
OECD(経済協力開発機構)が策定したガイドラインでは、「情報の機密性、完全性、可用性を確保し、維持すること」と定義されており、一般にこの定義が広く利用されています。
情報リスクとその要因
組織が保有している情報資産(システム、ネットワーク、データ、ノウハウなど)が漏洩や破壊などにより失われる可能性があることを「情報リスク」といいます。
PDCAモデルの確立
マネジメントシステムが継続的かつ有効に機能するには図(リンク先参照)のようなPDCAモデルを確立していることが必要となります。
ISMS構築の基本的枠組み(フロー図)
中核となるのは、組織が持つ情報資産のリスクを分析し、そのリスクの大きさを測定するための一連のプロセス(リスクアセスメント)です。
ISMSの適用範囲の定義
ISMSの適用範囲は、全社一括でなくても、施設や事業の単位で設定できます。
情報セキュリティ基本方針の策定
経営社は、ISMSを構築する目的を明文化しなければなりません。この基本方針は、情報セキュリティを実施していく上での方向性を指し示したものといえます。
リスクアセスメント
事業・業務遂行上のリスクを漏れなくとらえ、適切な対策を確実に行うための仕組みのことです。
リスクの特定
リスクアセスメントの最初の活動として、情報セキュリティ管理の対象とするリスクの特定を行います。
リスクの評価・分析
「リスクの特定」で、(情報)資産の機密性、完全性、可用性の喪失が資産に及ぼす影響を特定した後は、事業活動に及ぼす影響を分析・評価することが重要となります。
リスク受容基準
どのレベルのリスクなら受容できるかという、ある期間におけるセキュリティ上の到達点についての考え方です。
リスクへの対応
リスク分析の結果、リスクの重大さ(影響度と発生可能性)に応じて、リスク対応を行うことになります。具体的には4つの選択肢があります。
適用宣言書
リスクアセスメント及びリスク対応の結果、付属書Aの中から選択したあるいは選択しなかった対策とその根拠と理由を示すものです。構築したISMSの形を具体的に示す代表的な情報として扱います。
経営者のコミットメント
ISMSの確立、導入、運用、監視、レビュー、維持及び改善に対する経営層のコミットメントが求められていますが、注目すべきはコミットメントの「証拠」を要求している点です。
内部監査
「現状のルールが規格及び法規に適しているか」「ルールや法規制を遵守しているか」「期待通りの成果が出ているか」という観点から、ISMSの確立及び維持状況などの点検・評価を行います。
マネジメントレビュー
組織が実行した内部監査の結果や利害関係者からのフィードバックをもとに、組織のISMSが適切に運用されているかどうか、経営陣が判断する活動のことです。
継続的改善
単独で実施するというものではなく、他の項目と関連付けて行い、ISMS全体として常に何らかの改善活動が行われていることが重要となります。
是正処置
是正処置の目的は、ISMSの導入と運用で実際に発生した不適合の問題を取り除くことにあります。
予防処置
現状では不適合が起こる可能性がある場合に、事前に不適合の発生を予防するために対応を行うものです。
認証審査の流れ
ISMS認証を申請し、認証を取得するまでの流れは、1.申請、2.受理・契約、3.予備審査、4.文書審査、5.実地審査、6.認証・登録となります。
予備審査(オプション)
オプションの扱いになりますが、本審査前に組織のISMSが本審査を受けられるレベルか否かの判断と不適合箇所を明確にするための手段として有効です。
文書審査(ファーストステージ)
審査対象となる文章には、組織の実施した情報セキュリティに関するリスクアセスメント方法と結果、適用宣言書、その他組織が必要であると判断した各種の規定や手順所などが含まれます。
実地審査(セカンドステージ)
対象組織の拠点で行われる最終審査となります。ここでは、文書確認や各部門の代表者のヒアリング、現場視察を行い、運用面でのISMSが適切に機能しているかどうかをチェックします。
サーベイランス
サーベイランスは、ISMS認証の登録有効期間内すなわち登録日から3年後の更新審査までに通常1年に1~2回ずつ実施されます。
更新審査
ISMS認証登録を更新する目的で3年ごとに実施されます。審査範囲とその内容は、初回審査における実地審査とほぼ同様であるため、十分な準備が必要となります。
認証取得にかかる費用
審査登録機関や業務の煩雑さ、特殊性などによって相違はありますが、情報システムの運用を業務とする100名規模の組織であれば、200~300万円くらいです。
コンサルタントの利用
抽象的で難解な規格の要求事項の解釈、審査機関の選び方などのノウハウを持ったコンサルタントであれば確実に取得することができます。
審査登録機関の選び方
組織の本質的な情報リスクを見極め、情報セキュリティレベルを高めることに協力する姿勢を持つような審査登録機関を選定する必要があります。
