ISO27001(ISMS)とは
ビジネスが情報への依存を強めてゆく一方、人材流動化の進展や業務の外部依存、情報通信技術の発達とそれら技術へのアクセスの容易化が進展したことにより、組織が情報セキュリティに取り組む重要性が増しています。
ISO27001(ISMS)は、情報セキュリティマネジメントシステム(ISMS : Information Security Management System)の国際規格です。「マネジメントシステム」というのは、組織経営のしくみの事ですが、「情報セキュリティ」を実現するための組織経営のしくみですから「情報セキュリティマネジメントシステム」ということになります。情報セキュリティを実現するために、計画(Plan)・実施(Do)・点検(Check)・改善(Act)のPDCAサイクルを運用し、組織の重要な情報資産のセキュリティ維持を目指します。
ISO27001(ISMS)では、情報セキュリティを3つの性質から検討する
情報セキュリティ=情報が漏れないこと、と理解されている方もいるでしょう。しかし、ISO27001(ISMS)における情報セキュリティとは、情報が漏れないことという範疇にとどまりません。情報が正確であること、あるいは情報が必要なときに利用できること――これらの性質を順に「機密性」「完全性」「可用性」といい、この3つの要素を維持することが要求されています。情報を軸にビジネスの信頼性・継続性を追及し、ステークホルダーの利益を守ることがISO27001(ISMS)のゴールです。
リスクへの対応には、選択肢がある
ISO27001(ISMS)では、重要なリスクから重みをつけて対処するという姿勢が求められています。セキュリティ対策(管理策)を採用することによるリスクの「低減」のほか、リスクのレベル(水準)やその他の基準を明確にした上でのリスクの「受容」、情報資産利用の中止による「回避」、外部供給者へのリスクの「移転」という選択肢検討を踏まえた上での意思決定が必要です。また、組織の状況を踏まえた意思決定と、経営者の承認の証跡が規格上も求められています。
ISO27001(ISMS) 規格要求事項本文の構成
現行の規格となる、ISO27001:2013では、ISOマネジメントシステム規格の共通フレームワークとなる「ISO/IEC専用業務指針 附属書SL」に基づいて規定されています。2015年に改訂されたIS9001、ISO14001でもこの共通フレームワークが採用され、要求事項本文の章立てが共通化されました。これにより、複数のマネジメントシステムを構築・運用している組織にとって統合が容易になり、運用の効率化が期待されています。
セキュリティ対策の出発点となる「附属書A」
ISO27001(ISMS)の規格書には、「附属書A」という規程文があります。リスク低減を図るためにセキュリティ対策を検討する際、ISO27001(ISMS)では附属書Aに掲載された114の管理策をセキュリティ対策の出発点とし、組織の状況に応じて採否を検討することを求めています。附属書Aは、情報セキュリティ対策として推奨される事柄を扱った規格書である「ISO27002」を元にしており、さまざまな側面からの情報セキュリティ対策が取り上げられています。組織が附属書Aにない管理策を採用することも可能で、その場合は「適用宣言書」に追加の管理策とその採用理由を記述することになります。
ちなみに、ISO27001(ISMS)は「要求事項」と呼ばれる規格で、組織が情報セキュリティマネジメントシステムに必要な事項を規程しており、審査の際の基準となるものです。ISO27002は「実践規範」の規格で、組織が情報セキュリティの対策をするにあたって参考とするガイドラインの位置づけになっています。