ISMSの目標例と効果的な作成方法、情報セキュリティ方針との関係性やポイントを徹底解説
ISO27001 規格の情報セキュリティマネジメントシステムを構築するためには、最初にやるべきことがあります。適用範囲の決定、情報セキュリティ方針 の確立、そして、情報セキュリティに関する目標の決定などのプロセスです。
この中でも情報セキュリティ方針や情報セキュリティに関する目標は、情報の機密性、完全性および可用性を維持するうえで非常に重要な役割を果たします。そのうち情報セキュリティに関する目標については具体性が増すことで、「どのように決定すれば良いかわからない」とお悩みの方も多いのではないでしょうか。
そこで、この記事では情報セキュリティに関する目標の必要性や目標を定めるポイント、具体例について解説します。
目次
ISMS(ISO27001)における目標とは?
ISMS(Information Security Management System:情報セキュリティマネジメントシステム)における目標とは、「企業が策定した情報セキュリティ方針を、具体的に実行・評価するための指標」のことです。
ここでは、まずISMS(ISO27001)における目標の概要や必要性について解説します。
ISMSにおける目標の基本的な考え方
ISO27001では、情報セキュリティ目標を定め、定期的に評価・見直すことが要求されています。これにより、組織が掲げる方針が単なる理念で終わらず、実際の行動や成果として反映されることを目的としています。
ISMSにおける目標の必要性
ISMSにおける情報セキュリティの目標を定める必要性は、「何を達成すべきか」という方向性における共通認識をもつことができる点にあります。すべての関係者が共通認識をもつことで、ISMSの構築・運用において基盤となる「基準」を設けられるためです。
目標を設定しないままでは、対策の実効性を測定できず、改善の方向性も不明確になります。例えば、リソースの配分時やリスクアセスメントの実施時、セキュリティ施策の測定・評価時などにおいて適切な判断を下すための基準となります。
ISO27001では、目標の設定を規格上の必須要件としています。
定期的に目標を設定し、達成状況を振り返ることによって、組織全体の情報セキュリティレベルを段階的に高めることができます。
情報セキュリティ方針との関係性
情報セキュリティ目標とよく似た言葉に、「情報セキュリティ方針」があります。
情報セキュリティ方針とは、「組織における情報セキュリティ対策の土台となるISMSの方向性をトップマネジメントが示したもの」です。
組織の状況や組織が扱う商材、組織の規模などによってどのような情報セキュリティ方針が望ましいかは異なりますが、以下に情報セキュリティ方針の一例を紹介します。
- 「世界につながる人財と先進の情報技術を組み合わせた独自のサービスを創造し、お客さまからすべてをまかせていただけるグローバルサービスカンパニーになる」
- 「IT環境からファシリティまでトータルオフィスソリューションを営む会社として、情報セキュリティ保護の重要性を強く認識し、会社の情報資産をあらゆる脅威から保護し、適切な安全管理をする」
情報セキュリティ目標と情報セキュリティ方針との関係性は、「情報セキュリティ方針を実行するために達成すべき目標」が情報セキュリティ目標であることです。
わかりやすい例では、「会社の売上目標」と「営業マン個人に割り当てられた営業目標」との関係です。
営業マンが個人の目標を達成することによって、会社の売上目標の達成に近づきます。情報セキュリティ方針と情報セキュリティ目的は、このような相互関係にあるのです。
そのため、情報セキュリティ目標を定める際は、情報セキュリティ方針との整合性を保つ必要があるのです。
ISMS(ISO27001)の目標の決め方
ISMSにおける情報セキュリティ目標は、以下のISO27001の要求事項に沿って設定する必要があります。
| 情報セキュリティ方針と整合していること | 情報セキュリティ目標は、組織全体の方向性を示す「情報セキュリティ方針」に基づいて設定する必要があります。 |
|---|---|
| 実行可能な場合、測定可能であること | 目標は実現可能であり、進捗や達成度を定量的に評価できる形で設定する必要があります。例えば、「教育受講率100%」など、数値で確認できる目標です。 |
| 適用される情報セキュリティ要求事項、およびリスクアセスメント・リスク対応の結果を考慮すること | 法令・契約・顧客要求などの外部要求や、リスクアセスメントで特定されたリスクを踏まえて目標を設定する必要があります。 |
| 伝達すること | 目標を経営層から現場まで周知し、関係者が自分の役割を理解できるようにすることを求めています。 |
| 必要に応じて更新すること | 組織の環境やリスクが変化した場合は、目標を見直し・更新することを求めています。常に最新の状況に適した目標を維持することが重要です。 |
| 文書化した情報として利用可能な状態にすること | 設定した目標や進捗状況を文書化し、関係者が確認できるように管理する必要があります。 |
このうち、特に「実行可能な場合、測定可能であること」に適した目標にすることは大切です。測定可能な目標にすることで、セキュリティ施策の評価を行う際に具体的な達成度合いを把握できるようになります。
ISMS(ISO27001)目標の策定前に取り組むべきこと
ISMS(ISO27001)目標を策定する際には「リスクアセスメントやリスク対応の結果を考慮すること」が求められます。そのため、情報セキュリティ目標を策定する前には、主に以下のことを実施しましょう。
組織内外の状況の把握
情報セキュリティ目標を策定する際はまず、自社の内部課題・外部課題を明確にしましょう。
例えば内部課題には、セキュリティ対策を実施するためのリソース不足や社員のITリテラシーの低さ、既存システムの脆弱性などが挙げられます。外部課題には、法規制への対応やクラウドサービスの利用拡大によるセキュリティインシデントのリスク増加などが挙げられます。
また利害関係者(国・自治体、外注先、従業員、顧客など)からの情報セキュリティに関するニーズについても分析し、理解することが必要です。
リスクアセスメントの計画の決定
リスクアセスメントとは、自社における情報セキュリティリスクを特定し、発生しやすさや発生した場合の影響の大きさを分析し、リスクを評価するプロセスのことです。
情報セキュリティ目標を策定する前に、リスクを評価するうえでの基準の確立やリスクアセスメントの手順に関する計画を決定しましょう。
ISMS目標を情報セキュリティ方針と関連づけて設定する際の注意点
ここで、ISMS目標を情報セキュリティ方針と関連づけて設定する際の注意点をまとめました。
できる限り定量化できる指標にする
ISMS目標を、できる限り測定可能な形で設定することは、要求事項にも記載されているとおり、重要なポイントです。
例えば、「セキュリティ教育を年2回実施する」「情報セキュリティ事故の発生件数を前年比20%削減する」などの目標が挙げられます。
このように、可能な限り数値化・測定可能な目標に落とし込むことで、目標の進捗状況や達成度を明確にできます。
PDCAサイクルを回し、改善を続けるために、基本的には目標は定量化することがおすすめです。ただし、実行不可能な場合には、数値化する必要はありません。
現実的な水準を設定する
目標を高く設定しすぎると、達成困難になり、組織全体のモチベーションが低下するリスクがあります。そのため、ISMS目標は「実現可能な範囲」に設定することが重要です。
現実的な水準を見極めるには、過去のデータや各部門のリソース状況を考慮して判断しましょう。
リスク対応計画との整合性を確認する
ISMS目標は、リスクアセスメントやリスク対応計画と密接に関連しています。
そもそもリスク対応計画とは、リスクアセスメントで特定・評価したリスクに対して、「どのような方針で対応するか」を明確にする計画書のことです。
ISMS目標とリスク対応計画の内容に矛盾があると、リスク対策の実効性を説明できなくなる可能性があります。そのため、目標を設定する際には、リスク対応策の内容を確認し、整合性を保つことが重要です。
定期的な見直しと改善を行う
情報セキュリティのリスクは、組織の変化やIT技術の進化などによって常に変動します。そのため、ISMS目標も一度設定したら終わりではなく、「年1回」「インシデント発生時」などの機会で見直すことが大切です。
定期的な見直しと改善を繰り返すことで、ISMS全体の有効性を維持・向上させることにつながります。
ISMS情報セキュリティ目標の具体例
最後に情報セキュリティ方針の具体例と、その方針に対応した情報セキュリティ目標の具体例を紹介します。
例1
| 方針 | 当社は、顧客および従業員の情報を最優先で保護し、機密性、完全性、可用性を確保するために必要なセキュリティ対策を実施します。 |
|---|---|
| 目標 | 機密性の向上のため、全社で重要情報資産に対する暗号化措置を100%実施する。 |
例2
| 方針 | 当社は、すべての従業員が情報セキュリティに関する重要性を理解し、日々の業務で適切に対応できるように、定期的なセキュリティ教育を実施します。 |
|---|---|
| 目標 | 情報セキュリティに関する教育を年3回実施し、100%の従業員がセキュリティトレーニングを受ける。 |
例3
| 方針 | 外部からのサイバー攻撃を防ぐために、適切な防御措置(ファイアウォール、侵入検知システムなど)を導入し、継続的に監視体制を強化します。 |
|---|---|
| 目標 | 半年以内に、すべての重要システムに対して侵入検知システム(IDS)を導入する。 |
情報セキュリティ方針や情報セキュリティ目標の策定に不安がある場合には、ISOコンサルに依頼することで、自社に適切な方針・目標を提案してもらえるでしょう。
まとめ
今回は、情報セキュリティ目的と情報セキュリティ方針について解説してきました。これら2つの概念は情報セキュリティマネジメントシステムにおいて非常に重要な役割を果たすものです。トップマネジメントは、これら2つの決定によって組織がどのように動くのかということを意識して慎重に決定するようにしましょう。
また、方針は組織内への周知が、目標はすべての要員が活動に参加することが必要なので、それを意識して理解されやすい内容や言葉で表現しましょう。
ISOプロでは月額4万円から御社に合わせたISO運用を実施中
ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。
また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。
品質保証を主体としたマネジメント業務を通じて、大企業/中小企業のISO9001/IATF16949/ISO14001/ISO27001認証取得に対応したマネジメントシステムの導入と人材育成に長年従事。 定年退職を機に、経営から現場までのマネジメント経験と知識を活かして、マネジメントシステム構築を通じてクライアント企業へ貢献すべく、ISOプロのコンサルタントとして活動をスタート。