有効な情報セキュリティマネジメントシステム を構築するにあたっては、その組織にあったマネジメントシステムを構築する必要が出てきます。ISO 規格 ではおなじみですが、 ISO27001 でも組織の状況を理解した上で合理的判断のもと適用範囲を決定することが求められます。

目次

【4.1】組織及び状況の理解

組織は,組織の目的に関連し,かつ,そのISMSの意図した成果を達成する組織の能力に影響を与える,外部及び内部の課題を決定しなければならない。
JIS Q 27001

この項のポイントは、「ISMSの意図した成果」と「外部及び内部の課題」という部分です。

まずISMSの意図した成果とは、組織がISMSを構築し、運用することで得ようとしている成果のことです。これは「認証取得」とは切り離して考えるようにしましょう。「認証によって顧客に安心感を与えたい」という目的はISMSの構築とは関係がありません。例えば、「CIAをバランス良く維持し、リスクを明確にし、情報資産を保護すること」はISMSの意図した成果に挙げられるでしょう。

そして、この「ISMSの意図した成果」を達成するときに課題となる内外の課題を決定することを明確にすることこそ、ISO27001が求めていることです。例えば、以下のようなことは組織の内外の課題として挙げることができるはずです。

内部の課題

  • ・セキュリティに関する力量を持った人材確保が難しい
  • ・アプリケーションのメンテナンスを行える人材がいない

外部の課題

  • ・サイバー攻撃の件数が1年間で20%上昇している
  • ・IT人材不足に陥っており、エンジニアの雇用が難航している
累計ダウンロード5,000件突破!ISO27001丸わかり説明資料

【4.2】利害関係者のニーズ及び期待の理解

  • a) ISMSに関連する利害関係者
  • b) その利害関係者の,情報セキュリティに関連する要求事項

JIS Q 27001

ISMSの利害関係者という表現は「特定の個人」のように捉えてしまいがちですが、個人だけでなく組織も含みます。例えば以下のような人々や組織は多くの組織にとってISMSの利害関係者であるといえるでしょう。

  • ・従業員
  • ・株主
  • ・取引先
  • ・顧客

「どういう人達が組織の情報セキュリティに関連しているか、影響を与えるか」ということを考えてみましょう。

次にその利害関係者たちが組織に対して、どのような情報セキュリティに関する要求を行っているのかということを理解する必要があります。例えば従業員なら「給与やマイナンバーを外部に流出させてほしくない」という要求があるでしょうし、顧客なら「クレジットカード番号などをしっかり保護してほしい」と考えていることでしょう。このように、先程挙げた利害関係者がどのような要求を行っているのかについて考えてみましょう。

【4.3】情報セキュリティマネジメントシステムの適用範囲の決定

組織は、4.1や4.2で導き出したことを元にISMSの適用範囲を決定する必要があります。このあたりは全社を適用範囲とするPマークとは異なる点です。

適用範囲とは、情報セキュリティマネジメントシステムが有効に機能する範囲のことです。――基本的に全社を適用範囲とするケースがほとんどですが、場合によっては全社を適用範囲としないほうが良いケースもあります。例えば以下のようなポイントを元に、どのような適用範囲にすることで、利害関係者の要求を満たし、ISMSの意図した成果を得ることができるのかについて考えてみましょう。

  • ・事業的範囲
  • ・組織的範囲
  • ・物理的範囲
  • ・ネットワーク的範囲
  • ・情報資産の種類

そして、その適用範囲は文書化して保存する必要があります。

累計ダウンロード5,000件突破!ISO27001丸わかり説明資料

【4.4】情報セキュリティマネジメントシステム

組織は,この規格の要求事項に従って,ISMSを確立し,実施し,維持し,かつ,継続的に改善しなければならない。
JIS Q 27001

この項は形式上なものと見なして良いでしょう。

組織はISMSつまり情報セキュリティマネジメントシステムを確立し、情報セキュリティ目的 を定め、その目的の達成を確実にする計画を策定し、計画を実行し、PDCAサイクルを回しながら継続的に改善することを規格は求めています。

認証を取得する組織なら「ISMSを構築して運用すること」は当たり前のように理解しているかもしれませんが、第三者認証という性質を持っている以上こういった記述が必要になっているのです。

累計ダウンロード5,000件突破!ISO27001丸わかり説明資料
  • 無料資料 | ISO27001・Pマーク導入 徹底解説
  • 『ISO27001・Pマークを網羅的に分かりやすく』をコンセプトに、ISOコンサルタント監修のもとISO27001・Pマークについて図解などを交え詳細に解説しています。分かりやすいというお声も多くいただいていますので、ぜひ御社でご活用ください。
  • 必須ご担当者様名
  • 必須電話番号
  • 任意会社名
  • 任意メールアドレス
  • 必須個人情報の取り扱い
    (個人情報保護方針を読む)

ISOプロでは月額4万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。

サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。

ISO27001、40,000円/月から作業工数ほぼ0実現!ISO新規取得・運用完全サポートならISOプロ