ISO27001 規格の情報セキュリティマネジメントシステムを構築するためには、最初にやるべきことがあります。適用範囲の決定、情報セキュリティ方針 の確立、そして、情報セキュリティに関する目標の決定です。

この中でも情報セキュリティ方針や情報セキュリティに関する目標は、マネジメントシステムの継続的改善を行ううえで非常に重要な役割を果たします。そのうち情報セキュリティに関する目標については具体性が増すことで、「どのように決定すれば良いかわからない」とお悩みの方も多いのではないでしょうか。

そこで、この記事では情報セキュリティに関する目標の必要性や目標を定めるポイント、具体例について解説します。

目次

ISMS(ISO27001)における情報セキュリティ目標の必要性

ISMSにおける情報セキュリティの目標を定める必要性は、「何を達成すべきか」という方向性における共通認識をもつことができる点にあります。

関係者全員が方向性における共通認識をもって取り組むことは非常に重要です。
すべての関係者が共通認識をもつことで、ISMSの構築・運用において基盤となる「基準」を設けられるためです。
例えば、リソースの配分時やリスクアセスメントの実施時、セキュリティ施策の測定・評価時などにおいて適切な判断を下すための基準となります。

ISMS(ISO27001)の目標の決め方

ISMSにおける情報セキュリティ目標は、以下の条件を考慮して設定しましょう。

  • 情報セキュリティ方針と適合していること(のちほど詳しく解説します。)
  • 実行可能な場合、測定可能であること
  • リスクアセスメントやリスク対応の結果を考慮すること
  • 伝達すること
  • 必要に応じて更新すること

このうち、特に「実行可能な場合、測定可能であること」に適した目標にすることは大切です。測定可能な目標にすることで、セキュリティ施策の評価・評価を行う際に具体的な達成度合いを把握できるようになります。

累計ダウンロード5,000件突破!ISO27001丸わかり説明資料

情報セキュリティ目標の策定前に取り組むべきこと

情報セキュリティ目標を策定する際には「リスクアセスメントやリスク対応の結果を考慮すること」が求められます。そのため、情報セキュリティ目標を策定する前には、主に以下のことを実施しましょう。

組織内外の状況の把握

情報セキュリティ目標を策定する際はまず、自社の内部課題・外部課題を明確にしましょう。
例えば内部課題には、セキュリティ対策を実施するためのリソース不足や社員のITリテラシーの低さ、既存システムの脆弱性などが挙げられます。外部課題には、法規制への対応やクラウドサービスの利用拡大によるセキュリティインシデントのリスク増加などが挙げられます。

また利害関係者(国・自治体、外注先、従業員、顧客など)からの情報セキュリティに関するニーズについても分析し、理解することが必要です。

リスクアセスメントの計画の決定

リスクアセスメントとは、自社における情報セキュリティリスクを特定し、発生しやすさや発生した場合の影響の大きさを分析し、リスクを評価するプロセスのことです。

情報セキュリティ目標を策定する前に、リスクを評価するうえでの基準の確立やリスクアセスメントの手順といった計画を決定しましょう。

関連記事:ISO27001(ISMS)情報セキュリティリスクアセスメントとは?目的や手順を解説

情報セキュリティ目標と情報セキュリティ方針との関係性

ここでは、情報セキュリティ方針の概要や情報セキュリティ目標との関係性について解説します。

情報セキュリティ方針とは

情報セキュリティ目標とよく似た言葉に、「情報セキュリティ方針」があります。
情報セキュリティ方針とは、「組織における情報セキュリティ対策の土台となる方向性を示したもの」です。

組織の状況や組織が扱う商材、組織の規模などによってどのような情報セキュリティ方針が望ましいかは異なりますが、以下に情報セキュリティ方針の一例を紹介します。

  • 「世界につながる人財と先進の情報技術を組み合わせた独自のサービスを創造し、お客さまからすべてをまかせていただけるグローバルサービスカンパニーになる」
  • 「IT環境からファシリティまでトータルオフィスソリューションを営む会社として、情報セキュリティ保護の重要性を強く認識し、会社の情報資産をあらゆる脅威から保護し、適切な安全管理をする」

情報セキュリティ方針との関係性

情報セキュリティ目標と情報セキュリティ方針との関係性は、「情報セキュリティ方針を実行するために達成すべき目標」が情報セキュリティ目標であることです。

情報セキュリティ目標を策定する際に考慮すべきポイントの一つに「情報セキュリティ方針と適合していること」が含まれている理由には、情報セキュリティ方針は情報セキュリティ目標の上位にあり、目標の枠組みを提供しているためであることが挙げられます。

わかりやすい例では、「会社の売上目標」と「営業マン個人に割り当てられた営業目標」との関係です。
営業マンが個人の目標を達成することによって、会社の売上目標の達成に近づきます。情報セキュリティ方針と情報セキュリティ目的は、このような相互関係にあるのです。

関連記事:情報セキュリティ方針とは?ISO27001(ISMS)における考え方を解説
関連記事:ISO27001の情報セキュリティ目的とは?
累計ダウンロード5,000件突破!ISO27001丸わかり説明資料

情報セキュリティ目標の具体例

最後に情報セキュリティ方針の具体例と、その方針に対応した情報セキュリティ目標の具体例を紹介します。

例1

方針当社は、顧客および従業員の情報を最優先で保護し、機密性、完全性、可用性を確保するために必要なセキュリティ対策を実施します。
目標機密性の向上のため、全社で重要情報資産に対する暗号化措置を100%実施する。

例2

方針当社は、すべての従業員が情報セキュリティに関する重要性を理解し、日々の業務で適切に対応できるように、定期的なセキュリティ教育を実施します。
目標情報セキュリティに関する教育を年3回実施し、100%の従業員がセキュリティトレーニングを受ける。

例3

方針外部からのサイバー攻撃を防ぐために、適切な防御措置(ファイアウォール、侵入検知システムなど)を導入し、継続的に監視体制を強化します。
目標半年以内に、すべての重要システムに対して侵入検知システム(IDS)を導入する。

情報セキュリティ方針や情報セキュリティ目標の策定に不安がある場合には、ISOコンサルに依頼することで、自社に適切な方針・目標を提案してもらえるでしょう。

まとめ

今回は、情報セキュリティ目的と情報セキュリティ方針について解説してきました。これら2つの概念は情報セキュリティマネジメントシステムにおいて非常に重要な役割を果たすものです。トップマネジメントは、これら2つの決定によって組織がどのように動くのかということを意識して慎重に決定するようにしましょう。

累計ダウンロード5,000件突破!ISO27001丸わかり説明資料
  • 無料資料 | ISO27001・Pマーク導入 徹底解説
  • 『ISO27001・Pマークを網羅的に分かりやすく』をコンセプトに、ISOコンサルタント監修のもとISO27001・Pマークについて図解などを交え詳細に解説しています。分かりやすいというお声も多くいただいていますので、ぜひ御社でご活用ください。
  • 必須ご担当者様名
  • 必須電話番号
  • 任意会社名
  • 任意メールアドレス
  • 必須個人情報の取り扱い
    (個人情報保護方針を読む)

ISOプロでは月額4万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。

サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。

ISO27001、40,000円/月から作業工数ほぼ0実現!ISO新規取得・運用完全サポートならISOプロ