• 情報セキュリティ目的とは、組織が情報セキュリティ方針に基づいて決定しなければならない各部門や階層に課す目的のこと
  • 定量的な目的を掲げたほうがPDCAサイクルを回しやすくなるが、必ずしもそうでなくて良い
  • 向上や改善でなく、維持することを目的として掲げてもマネジメントシステム上問題ない

情報セキュリティの目的は、情報セキュリティ方針 をブレずに達成させるものです。目的の設定方法としては、情報セキュリティにおけるリスク分析、リスクの特定を行い、組織の状況に応じて目的を設定していきます。
この情報セキュリティの目的は、組織のリーダーによって決定をする必要があり、ISMS で重要となる「機密性」「完全性」「可用性」の三要素の中からリスクが高いと判断できるものを目的として掲げることで、本業と一本化した仕組みとして運用することができます。

この記事では情報セキュリティ目的について解説していきます。

情報セキュリティ目的とは

情報セキュリティ目的とは、組織が情報セキュリティ方針に基づいて決定しなければならない、各部門や階層に課す目的のことです。ISO27001要求事項には、以下のような記載があります。

6.2 情報セキュリティ目的及びそれを達成するための計画策定
組織は,関連する部門及び階層において,情報セキュリティ目的を確立しなければならない。
情報セキュリティ目的は,次の事項を満たさなければならない。
a)情報セキュリティ方針と整合している。
b)(実行可能な場合)測定可能である。
c)適用される情報セキュリティ要求事項,並びにリスクアセスメント及びリスク対応の結果を考慮に入れる。
d)伝達する。
e)必要に応じて,更新する。

この情報セキュリティ目的は、組織のリーダーによって決定される必要があります。

——しかし、「情報セキュリティの目的なんて、セキュリティに詳しくないからわからない、決められない」とお困りのトップマネジメントも多いかと思います。ただ、難しく考える必要はありません。情報セキュリティ方針から逸脱しないように、目的を掲げれば良いのです。

累計ダウンロード5,000件突破!ISO27001丸わかり説明資料

情報セキュリティ目的は、聞こえの良い目標ではない

日本企業では営業の力が強いため、「目標」や「目的」と聞くと、どうしても「上司の、お客様の顔色を伺いながら決めるもの」というイメージを巡らせてしまいがちですが、マネジメントシステムにおける「目的」はこういったものと少し違う属性を持つと思ったほうが良いかもしれません。

情報セキュリティ目的とは、ただ「情報セキュリティ方針」を達成するために「やる必要があること」なのです。例えば、多くの組織の情報セキュリティ方針では、以下と似たようなことが書かれています。

情報セキュリティマネジメントシステムを確立し、実行、維持、改善に努めます。

この方針を達成するためには、どのようなことをする必要があるでしょうか。——それは、「従業員の教育」であるかもしれないですし、「セキュリティソフトの導入によるセキュリティ強化」かもしれないですし、「PC持ち出しのルール決め」かもしれないです。

様々なことが考えられますが、要するに、「情報セキュリティにおけるリスクアセスメントを行った結果、組織がどういう状況か」に応じて目標を設定し、情報セキュリティ方針を達成させるもの。——これが情報セキュリティ目的なのです。

必ずしも定量的である必要はない

マネジメントシステムの構築においては、「30%削減」や「110%向上」といった定量的な数値をついつい求めてしまいがちです。——しかし、冒頭で紹介した規格の要求事項にもある通り、情報セキュリティ目的は「実行可能な場合」測定可能であるとしていますが、「測定可能でなければならない」とは言っていないのです。

もちろん、定量的な目的を掲げたほうがPDCAサイクルを回しやすくなるため、定量的な目的を掲げるに越したことはありませんが、必ずしもそうでなくて良いということは頭に入れておくと良いでしょう。

累計ダウンロード5,000件突破!ISO27001丸わかり説明資料

改善である必要もない

情報セキュリティ目的を決定する際に、どうしても対外的な目を気にして、「向上」や「改善」という言葉を使いたくなりますが、目的は必ずしも改善でなくても良いのです。

特にIT産業は目まぐるしく進化しており、日々何らかの脆弱性が発見され、サイバー攻撃も増加しています。——このような環境で、セキュリティレベルを「維持すること」はとても難しいことなのです。もちろん、この「維持すること」を目的として掲げてもマネジメントシステム上何ら問題はないのです。

また、必ずしもセキュリティを高める・維持するといったものである必要もなく、ローカルで管理している情報資産をクラウドで管理し可用性を高めるといったものでも良いのです。

ISMSで重要となる「機密性」「完全生」「可用性」の三要素の中から、組織がリスク値が高いと判断するものへの対応を目的として掲げることで、本業と一本化した仕組みとして運用することができるのです。

まとめ

今回は、情報セキュリティ目的について解説してきました。情報セキュリティ目的はマネジメントシステムの中でとても重要な役割を果たすものでありますが、それほど難しく考える必要はありません。迷ったら基本である情報セキュリティ方針に戻ってみて、考えてみると良いでしょう。

累計ダウンロード5,000件突破!ISO27001丸わかり説明資料
  • 無料資料 | ISO27001・Pマーク導入 徹底解説
  • 『ISO27001・Pマークを網羅的に分かりやすく』をコンセプトに、ISOコンサルタント監修のもとISO27001・Pマークについて図解などを交え詳細に解説しています。分かりやすいというお声も多くいただいていますので、ぜひ御社でご活用ください。
  • 必須ご担当者様名
  • 必須電話番号
  • 任意会社名
  • 任意メールアドレス
  • 必須個人情報の取り扱い
    (個人情報保護方針を読む)

ISOプロでは月額4万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。

サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。

ISO27001、40,000円/月から作業工数ほぼ0実現!ISO新規取得・運用完全サポートならISOプロ