ISMS(ISO27001:2005)要求事項の構成
情報セキュリティマネジメントシステム(ISMS)の基盤となるISO 27001規格は、単なる技術的な対策の集合体ではなく、組織全体で継続的な改善を図るための管理フレームワークです。
効率的かつ実効性のあるISMSを構築するためには、まず規格がどのような思想で構成されているかを正しく理解することが重要です。
本記事では、旧規格(ISO 27001:2005)の要求事項を軸に、その核心となる4つの特徴を解説します。
PDCAサイクルに基づいたプロセスアプローチの考え方をはじめ、リスクアセスメントによるリスク管理の体系化、品質マネジメント規格(ISO 9001)との親和性、そして組織の状況に応じて選択可能な「付属書A」の具体的な管理策まで、規格の全体像を網羅しています。
現在は新規格への移行が進んでいますが、ISMSの本質である「リスクに基づいたマネジメント」を理解するための基礎知識として、また規格構成の歴史的背景を知るための資料として、ぜひお役立てください。
1. PDCAサイクルに基づいたプロセスアプローチの採用
「この規格は、“Plan-Do-Check-Act(計画-実行-点検-処置)”(PDCA)モデルを採用し、これをISMSプロセスすべての構築に適用する。ISMSが、利害関係者からの情報セキュリティ要求事項及び期待をインプットとしてどう取り入れ、必要となる活動及びプロセスを経て、その要求事項及び期待を満たした情報セキュリティの成果をどう生み出すかを表している。」(第0 序文より)
2. リスクマンジメントの体系化
PDCAサイクルにリスクの観点を導入している。「4.2 ISMSの確立及び運営管理」の「4.2.1 ISMSの確立」においては、ISMSの確立の流れに沿った要求事項が記されている。それは、リスクアセスメントの取組方法の策定から、リスクの特定、分析、評価、対応といったものであり、最終的な経営者の承認という形での確立が要求されている。
3. ISO9001との親和性
ISMSの要求事項には、「経営陣の責任」や「マネジメントレビュー」「内部、外部監査の実施」「是正、予防処置の実施」「実行結果の協議」「目的が達成できるかの確認」「改善の実施」といったような、ISO9001と共通する要求がなされている。
4. 具体的なリスク対策
ISMSの特徴としては、この「付属書A 詳細管理策」が挙げられます。これは、リスクアセスメントの結果を受けて、組織が打つべき具体的な対策の指針が書かれています。これは選択制になっており、対応しない項目は適用除外が許されています。この「詳細管理策」が、より具体的に書かれたものとして「JIS X 5080(情報技術-情報セキュリティマネジメントの実践のための規範)」があります。
執筆・監修:ISM Web store サポート
ISMS、プライバシーマーク、ISO9001に必要な文書及び社員教育用テキストの販売及び無料メールサポートにて、25年以上にわたり取得支援しています。
