ISO27001要求事項では、「情報セキュリティ目的 」を確立することを求めています。情報セキュリティ目的は、 ISO 9001では 品質 目標、ISO14001では 環境 目標という似たニュアンスを持つキーワードがありますが、初めてISO 規格 に沿って マネジメントシステム を構築する場合は少し分かりにくいものかもしれません。

今回は、情報セキュリティ目的とはどのようなもので、具体的にはどのような設定を掲げるべきなのかということについて解説していきたいと思います。

情報セキュリティ目的とは

情報セキュリティ目的とは、情報セキュリティ方針と整合性が取れている測定可能な具体的な計画目標のことです。例えば、「情報セキュリティ教育を全従業員に対して行う」といった具体的な数値を伴った行動計画のことを情報セキュリティ目的と言います。

この情報セキュリティ目的は、「必ずこうでなければいけない」という縛りは特にありませんが、以下のようなことは要求事項内で求められています。

情報セキュリティ目的は,次の事項を満たさなければならない。
a)情報セキュリティ方針と整合している。
b)(実行可能な場合)測定可能である。
c)適用される情報セキュリティ要求事項,並びにリスクアセスメント及びリスク対応 の結果を考慮に入
れる。
d)伝達する。
e)必要に応じて,更新する。

情報セキュリティ目的と情報セキュリティ方針の関係

情報セキュリティ目的は、情報セキュリティ方針と整合性が取れている必要があるということが求められていますが、これは具体的にはどういうことでしょうか?

少し噛み砕いて解釈すると、「情報セキュリティ目的は、情報セキュリティ方針を達成するためのものである必要がある」ということです。

ISO27001では、情報セキュリティ方針というものをマネジメントシステム構築時にトップマネジメントによって宣言する必要があるとされていますが、この情報セキュリティ方針がその組織にとっての道標となるものです。――つまり、大目標が情報セキュリティ方針というわけです。

対して情報セキュリティ目的は大目標を達成するためにクリアしなければならない小目標のようなものです。

これは、会社の目標と営業マンの目標に例えると分かりやすいかもしれません。10人の営業マンが所属する会社の月間売上目標が5千万円だったとしましょう。大抵の場合この会社の目標から逆算して、各営業マンには「一人500万円の売上を上げる」という目標が課せられます。各営業マンがそれぞれ目標として与えられた数値を達成することで会社の目標である月間の売上5千万円というものを達成することができるようになりますよね?

情報セキュリティマネジメントシステムにおいては、この会社の目標が「情報セキュリティ方針」で、営業マンの役割が「情報セキュリティ目的」に当てはめることができます。

情報セキュリティ目的は測定可能でなくてはならない

要求事項内には、情報セキュリティ目的は「可能であれば測定可能である」ということが求められていますが、有効なマネジメントシステムを構築するためには情報セキュリティ目的は測定可能である必要があります。なぜなら、定量的な目的でなければ目標そのものが正しかったかどうかということが評価できませんし、評価できなければ自社の情報セキュリティレベルを向上させるための改善策を練ることができないからです。

ISO27001では、この「評価」というものが非常に重要で、評価なくしてはPDCAサイクルを回し継続的にマネジメントシステムや情報セキュリティ水準を高めることができないため、定量的な情報セキュリティ目的を決定することを求めているのです。

まとめ

今回は、情報セキュリティ目的についてご紹介してきました。情報セキュリティ担当者の方の中には、「具体的にどのような目的を掲げれば良いかわからない」とお悩みの方もいらっしゃるかもしれませんが、そのような場合には「情報セキュリティ方針」に一度立ち返ってみると良いかもしれません。

もしくは、リスクアセスメントを行った結果、どのような課題があったのかということを再度チェックしてみましょう。そうすれば、「情報セキュリティ方針と整合性が取れた具体的な行動指針」が見えてくるはずです。

ISOプロでは月額4万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。