ISMS, プライバシーマークに関するさまざまな資料と役立つリンク集

ISMS(ISO27001:2005)要求事項の構成

2009/07/14 (2014/07/11)
ISMS解説資料.  9,604 views


1. PDCAサイクルに基づいたプロセスアプローチの採用

「この規格は、“Plan-Do-Check-Act(計画-実行-点検-処置)”(PDCA)モデルを採用し、これをISMSプロセスすべての構築に適用する。ISMSが、利害関係者からの情報セキュリティ要求事項及び期待をインプットとしてどう取り入れ、必要となる活動及びプロセスを経て、その要求事項及び期待を満たした情報セキュリティの成果をどう生み出すかを表している。」(第0 序文より)

2. リスクマンジメントの体系化

PDCAサイクルにリスクの観点を導入している。「4.2 ISMSの確立及び運営管理」の「4.2.1 ISMSの確立」においては、ISMSの確立の流れに沿った要求事項が記されている。それは、リスクアセスメントの取組方法の策定から、リスクの特定、分析、評価、対応といったものであり、最終的な経営者の承認という形での確立が要求されている。

3. ISO9001との親和性

ISMSの要求事項には、「経営陣の責任」や「マネジメントレビュー」「内部、外部監査の実施」「是正、予防処置の実施」「実行結果の協議」「目的が達成できるかの確認」「改善の実施」といったような、ISO9001と共通する要求がなされている。

4. 具体的なリスク対策

ISMSの特徴としては、この「付属書A 詳細管理策」が挙げられます。これは、リスクアセスメントの結果を受けて、組織が打つべき具体的な対策の指針が書かれています。これは選択制になっており、対応しない項目は適用除外が許されています。この「詳細管理策」が、より具体的に書かれたものとして「JIS X 5080(情報技術-情報セキュリティマネジメントの実践のための規範)」があります。