ISO27001:2005要求事項体系図

ISMS Ver.2.0が、国際規格のISO27001（情報技術 – セキュリティ技術 – 情報セキュリティマネジメントシステム – 要求事項）となりました。その要求事項に大きな変更は見られないものの、ISO特有のPDCAサイクルを意識した規格の構成となっております。
ISMS Ver.2.0にくらべ、継続的改善を意識させるPDCAサイクルのC（check：チェック）とA（Act：アクション）が明確になり、有効性の評価が要求されるようになりました。
規格要求事項の構成としては、4項において、ISMS（Information Security Management Sysrem）の全体像に関して要求されており、ISMSの確立、導入と運用、監視及び見直し、改善と計画（P：plan）、実施（D：do）、見直し（C：check）、改善（A：act）のPDCAごとに項目わけされている。
それを補う形で、経営者の責任としてやるべきこと（5．経営者の責任）、マネジメントシステムの有効性の確認（6．内部監査）、マネジメントシステムの改善（7．マネジメントレビュー、8．ISMSの改善）、具体的なセキュリティ対策（附属書A – 詳細管理策）があると見れる。

企業においては、実際に行うべきセキュリティ対策の主として考えなければならないのが、「附属書A – 詳細管理策」への対応である。しかし、詳細管理策は、規格の中ではあくまでも附属書という扱いであり、企業は、この詳細管理策をもとに、自社の情報セキュリティマネジメントシステムを、どのように構築していくかを検討することになります。
附属書Aの管理策ばかりに気をとられ、マネジメントシステムの構築をしてしまうと、継続的改善を意図して構成されているISO27001要求事項がないがしろされ、企業として運用し続けることは難しいものになるでしょう。
まず、ISO27001の規格が、どのようなマネジメントシステムを要求しているのかを掴んだ上で、「詳細管理策 – 附属書A」を下敷きに、具体的な対策を検討することが重要です。
今後、ISO27001には、ISO27000（情報セキュリティマネジメントシステム – 基本及び用語 – ）、ISO27003（情報技術 – セキュリティ技術 – 情報セキュリティマネジメントシステムのための実施の手引）、ISO27004（情報技術 – セキュリティ技術 – 情報セキュリティマネジメントの測定）、ISO27005（情報技術 – セキュリティ技術 – 情報セキュリティリスクマネジメント）といったISO27000シリーズというのができる予定です。
ISO9001やISO14001を既に経験されている方にとっては、考え方としては一緒であるため、取組みやすい規格である一方、規格自体の未整備状況により、しっくりこない部分も出てくると思われます。