【ISO27001入門】認証取得のキホンと規格要求事項を徹底解説
- ISO27001は情報セキュリティマネジメントシステムに関する規格である
- ISO27001規格のISMSでは、機密性、完全性、可用性の3つをバランス良く管理する
- ISO27001は、IT業、運送業、廃棄物処理業のような重要な情報を取り扱う可能性が高い業種で主に取得されている
ISO27001は情報セキュリティの国際規格です。IT企業を筆頭に重要な情報資産を取り扱う企業なら抑えておきたい規格ではないでしょうか。これから取得を考えると、何をどのように理解し、どのように進めればよいのかわからない人も多いかと思います。ISO27001は情報セキュリティの国際規格であり、「情報セキュリティに強い企業」として対外的アピール目的で取得を希望する企業が多いのではないでしょうか。
このページでは、ISO27001の全体像をシンプルかつ理解しやすい用にまとめているので、これからISO27001を取得するにあたって何をどのように理解すれば良いのか解説していきます。
そもそもISOとは世界基準のモノサシです。
ISO27001は企業や組織が所有する情報資産を守る『情報セキュリティ』に携わるものです。
ISO27001とは?
ISO27001とは、国際標準化機構
による規格のひとつです。『情報セキュリティに対応するための仕組みを評価するガイドライン』のことであり、組織が扱う情報資産に対する、情報セキュリティマネジメントシステム
に関する規格です。
この規格は情報の「機密性
」「完全性
」「可用性」の3つをバランスよくマネジメントしていくためのものです。
情報セキュリティマネジメントシステムって何?
情報セキュリティマネジメントシステム(ISMS)とは、組織の情報セキュリティに対するリスク低減を実現するために管理・監督するためのシステムです。
つまり、「情報セキュリティ」を担保し、リスク低減を目指すための「組織の仕組み」が情報セキュリティマネジメントシステムです。
無理やりセキュリティを高めようとしてもうまくいきません。情報セキュリティマネジメントシステムを導入することで、継続的な改善を円滑に実行することができるのです。
ISMSとPMSの違い
情報セキュリティと聞くとPマーク(プライバシーマーク)を連想する方も多いかと思います。しかし、情報システムマネジメントシステム(ISMS)と個人情報保護マネジメントシステム(PMS)は別物なのです。ISMSが対象としているのは企業や組織が所有する「情報資産」。PMSは「個人情報」が保護対象となります。ここではPMSについて簡単に説明します。
個人情報保護マネジメントシステム(PMS)とは、個人情報の「漏えい」「紛失」「滅失・毀損」「改ざん、正確性の未確保」「不正、不適正取得」「目的外利用・提供」「不正利用」の求めなどの拒否」を防ぐために管理・監督するための「開示等システムです。
個人情報保護法に基づいた、厳格な対策を導入することで、個人情報に対するリスクを排除することを目的としています。
ISO27001要求事項
要求事項とは、ISO27001を取得するために企業が実現すべき基本的な要件のことです。
これからISO27001を取得しようとする企業や既に運用している企業はこの要求事項の要件を満たしておく必要があります。
ISO27001の要求事項では、製品やサービスの仕組みや管理方法などのプロセスがきちんと動いているのかを判断します。
- 1.適用範囲
- 2.引用規格
- 3.用語及び定義
- 4.組織の状況
-
- 組織における状況理解のための、内部及び外部の課題を決定します。
- また、利害関係者として、内部の従業員や、外部の各取引先、近隣住民などの特定を行い、そのニーズや期待の把握を行います。
-
ISMSの適用範囲を定めるために、物理的(所在地や組織)および技術的(情報および情報に関連する資産)な境界性を明確にします。その際、上記の内部および外部の課題を考慮する必要があります。なお、適用範囲は、文書化して管理しなければなりません。
- 5.リーダーシップ
-
- トップマネジメントは、ISMSに関するリーダーシップと規格要求事項に記されているコミットメント(責任をもって達成することを確約すること)を実証することが求められます。
- トップマネジメントはISMSの目的や方向性を示す活動の枠組みとして情報セキュリティ方針を確立し、文書化します。この方針は組織内に伝達し、また利害関係者が入手できるようにします。
- ISMSを運用するために各階層で必要な役割を定めて、責任及び権限を割り当てます。
- トップマネジメントはマネジメントシステムの機能について責任を持ちます。
- 6.計画
-
- ISMSの計画を策定するとき、組織の課題から対処するリスクおよび機会を決定しなければなりません。
- 対処する具体的なものには、ISMS全体の活動、情報セキュリティ目的の達成のための計画、リスク対応計画などがあります。
- さらに、情報セキュリティのリスク基準を確立し、リスクを特定、分析および評価しなければなりません。
- 情報リスクアセスメントの手順を定めなければなりません。
- リスク許容基準は、トップマネジメント等が決定し、情報セキュリティリスクを特定しなければなりません。
- リスク分析により、資産におけるリスクレベルの算出を行います。
- 決定したリスクレベルとリスク基準によりリスクレベルを評価しなければなりません。
- リスクレベルを考慮し、リスク対応計画に反映しなければなりません。
- 以上、情報リスクアセスメントは、文書化した情報を保持しなければなりません。
- 情報セキュリティリスク対応のプロセスを定め、リスク対応の選択肢を設定し、管理策を決定、適用宣言書及び情報セキュリティリスク対応計画を策定しなければなりません。
- 情報セキュリティ目的を達成するための目的を定め、達成するための実施計画を策定し、達成に向けての活動およびその結果は、文書化した情報を保持しなければなりません。
- 7.支援
-
- ISMSに必要な資源を決定し、明確にしなければなりません。また、資源を組織内に確実に提供しなければなりません。
-
ISMSの推進、情報セキュリティの実施および運用に携わる者に必要な力量を決定しなければなりません。当該力量が備わるよう教育訓練の計画を策定し、計画的に実施しなければなりません。また、実施した内容の資料を保管しなければなりません。
- ISMSに関する内部および外部のコミュニケーションの内容、実施時期、対象者、実施方法を決定し、実施しなければなりません。
- また、当該規格が要求しているISMS文書、記録を管理しなければなりません。
- 文書化した情報の作成および更新の手順を定め、レビューをし、文書化した情報を更新した際には、適切な再承認を行わなければなりません。
- 適切な版が利用可能な状態であり、旧版の保持または廃棄をしなければなりません。
- 配布、アクセス、検索および利用を管理しなければなりません。
- 8.運用
-
- リスクおよび機会に対する活動(リスクアセスメントおよびリスク対応)の計画を実施しなければなりません。
- また、計画の変更管理や意図しない変更によって生じた結果をレビューしなければなりません。
- 外部委託したプロセスの特定をし、業者の評価を定期的に行い、契約を締結しなければなりません。
- 定期的に情報リスクアセスメントを実施し、重大な変化が生じた場合は、情報リスクアセスメントを実施しなければなりません。
- 9.パフォーマンス評価
-
-
情報セキュリティパフォーマンス評価(求められる要求事項および期待に対して、どの程度の運用管理された状態であったかを評価する活動)と管理策のパフォーマンス評価(影響の大きいインシデントの発生回数や管理策を必要とする資産の消失によるその能力の必要性の評価)を行わなければなりません。
- 監視および測定の結果は、文書化した情報を保持しなければなりません。
- 少なくとも1年に1回は内部監査を行う必要があります。
- また、内部監査の計画として、監査基準および監査範囲を明確にしなければなりません。
- 内部監査の結果は、記録に残し、トップマネジメントへのインプットが求められます。
- トップマネジメントは、下記の事項に対する、レビューを少なくとも年1回しなければなりません。
- 過去のマネジメントレビューに対するフォローアップの状況
- ISMSに関する内部および外部の課題の変化
- 不適合および是正処置、監視および測定の結果、監査結果、
- 利害関係者からのフィードバック
- リスクアセスメントの結果およびリスク対応計画の状況
- 継続的改善の機会
- 以上の、マネジメントレビューの結果は記録し、保管しなければなりません。
- 10.改善
-
- 不適合が発生した場合の是正処置(再発防止のための処置)の手順を明確にし、速やかな修正(適合の状態に戻す処置)と、その結果の影響を把握し、フォローし、その結果を記録しなければなりません。
- また、リスクアセスメント、リスク対応計画、情報セキュリティ実施計画、不適合への是正処置を通して、情報セキュリティの改善を行わなければなりません。
- 附属書A
-
- ISMSの114の管理策が規定されています。リスク対応のための管理策をまとめたものが適用宣言書となります。
- 管理策は、組織的対策、人的対策、物理的対策、技術的対策として構成されております。
- 組織で定めた情報セキュリティリスク対応管理策と当該附属書Aで示す管理策と比較し、必要な管理策が見落としないかを検証しなければなりません。
- A.5は、情報セキュリティのための方針として、経営陣の方向性を示し、その目的を定義
- しています。当該目的のための正式なルールを周知し、維持することが求められます。
- A.6は、情報セキュリティを管理するための組織的な整備が必要になります。そのために
- 責任や権限を定め、割り当てをしなければなりません。
- また、組織におけるモバイルの取扱いおよびテレワークにおけるセキュリティの目的を
- 定義しています。
- A.7は、人的セキュリティとして、従業員の採用に当たって、情報セキュリティに関する
- 役割や責任を明示した雇用契約を交わすことが求められます。
- 具体的には、機密保持誓約書などへの署名が必要となります。
- また、情報セキュリティの取組みにおける責任の認識してもらうための教育訓練および違反時における罰則を定めなければなりません。
- 更に、従業員が退職する際における情報漏洩、情報持出を防ぐ取組みをしなければなりません。
- A.8は、資産の管理として、資産の把握と、資産の保護の責任を求めています。
- 退職時等において、資産の確実なる返却に関する管理策が必要となります。
- 情報資産の重要度に応じてセキュリティ対策の実施をしなければなりません。
- 情報を保存している媒体における不正閲覧、改ざん、破壊等を防止するために、取り外し可能な媒体に関する管理、媒体の処分、システムに関する書類に関するセキュリティの管理策を行わなければなりません。
- A.9は、アクセス制御として、情報や情報処理設備のアクセス制限を行うことによる管理が求められます。そのためのルール設定や、許可されたネットワークのみを利用者に提供する、アカウントの管理を徹底しなければなりません。
- 利用者にもパスワード管理を徹底させ、許可されていない利用者の不正アクセスを防止させる管理策も求められます。
- A.10は、暗号の管理策として、情報の機密性、真正性、完全性の保護のために暗号化キーやパスワードの管理を徹底することが求められます。
- 管理策に関する個別方針、かぎ管理における管理策を行わなければなりません。
- A.11は、物理的および環境的セキュリティとして、情報の盗難、不正閲覧、情報の持出、情報施設の不正侵入等の物理的なリスクを防止することが必要となります。
- そのために、セキュリティ上の境界と、必要な入退室管理策や、覗きなどによる外部からの保護や、情報システムの隔離に関する管理策が求められます。
- サーバーおよびパソコン等装置へのアクセスや損傷に対する保護や、電源設備や空調などインフラの異常に対する保護、ケーブル配線の保護、情報装置の保守、装置の修理や処分、再利用等、敷地外での管理策も求められます。
- A.12は、運用のセキュリティとして、セキュリティ対策を施した情報システムの確実な運用のための操作手順書や、それらの変更管理、開発施設、試験施設および運用施設の分離などの管理策が求められます。
- また、ソフトウェアおよび情報の完全性を保つため、ウィルス、ワーム、スパイウェア等から保護に関する管理策も求められます。
- さらに、データを消失から保護するためのバックアップに関する管理策も施す必要があります。
- ログの記録を行うことは、情報システムの監視、インシデント発生時の重要な証拠としての重要なものとなります。
- 情報システムにおける技術的脆弱性に対する管理対策を行うことも重要です。
- A.13は、通信のセキュリティとして、ネットワーク保護に関する管理策が求められます。
- 情報の転送の際にその紛失、改ざん等の危険性があるため、そのリスクに関するセキュリティの管理策が必要となります。
- A.14は、システムの取得、開発及び保守の情報システムに対するセキュリティ要求事項の分析を行い、明示することに関する管理策が求められます。
- 業務システムの開発、運用についても管理策が必要となります。
- また、情報システムの試験データ、検証データの保護を確実に行わなければなりません。
- A.15は、供給者関係として、取引先や、協力会社等の外部組織が情報処理施設へのアクセスに関する管理や、それに伴う脅威に関する管理策が求められます。
- 外部組織のセキュリティレベルが要求事項を満たしていることへの合意と契約、およびその順守状況の監視を管理しなければなりません。
- A.16は、情報セキュリティインシデント管理として、インシデントを管理する仕組みを行う必要があります。
- インシデントが起きたときの影響を最小限にすることが需要であります。そのため、セキュリティ事故の報告および対処に管理策が求められます。
-
A.17は、事業継続マネジメントにおける情報セキュリティの側面として、事業継続に影響を及ぼすインシデントや天災事変が発生した場合、速やかに復旧作業を行うことにより、顧客への製品及びサービスの供給することにより、事業を継続することが重要です。
- そのための事業継続計画の策定が求められます。
- また、情報処理設備の導入に対する可用性を考慮し、冗長性も検討する必要もあります。
- A.18は、順守として、情報セキュリティの法、ガイドライン、契約上の違反を行わないよう、順守するための管理策が求められます。
- また、定められた手順通りにセキュリティ対策が実施されるよう、情報セキュリティの技術順守についての管理策も必要となります。
情報セキュリティ目標・情報セキュリティ方針
ISO27001を構築するにあたって、決定の基準となる『情報セキュリティ方針』と構築に向けて具体的に達成すべき『情報セキュリティ目標』の2つを定める必要があります。
情報セキュリティ方針は、より安全でありより安心して利用できる情報セキュリティの方針を決めることです。構築時に情報セキュリティが保つことができるように問題がないかレビューを行い、安全性を維持しなければいけません。
情報セキュリティ目標は情報セキュリティ方針と調合性が取れた具体的な目標のことです。どうしても認証取得が目的になってしまいがちな部分ですが、あくまでも情報セキュリティを高め、悪意のある第三者からの攻撃を防ぐことを意識しなければいけません。
情報セキュリティの三大要素
ISMSを構築するために、重要な「機密性」「完全性」「可用性」について説明します。
機密性とは、情報が漏れないように管理しましょうということ。
完全性とは、保有している情報を正確かつ最新状態で管理しましょうということ。
可用性とは、使いたいときに使える状態で管理しましょうということ。
これらのバランスが悪いと、業務に悪影響がでることもあります。
機密性(Confidential)
権限のない人間が情報にアクセスしようとするのを防止すること
完全性(Integrity)
データを最新かつ正しい状態で維持すること
可用性(Availability)
利用できる人間がその情報を利用できる状態を維持すること
ISO27001のアドオン(拡張)規格
ISO27017、27018といった規格も新たにできてきています。
ISO27017とは、ISO27001の中のクラウドセキュリティに焦点を絞った規格です。
ISO27018とは、ISO27017の中の個人情報に焦点を絞った規格です。
これらは、ISO27001に包括されたものではありますが、自社の事業特性を考慮し、必要があれば取得する企業も増えてきています。
どのような目的で取得されるのか
取引先からの信頼感醸成
ISO27001は世界で評価される国際規格です。このため、取得しているだけで「この会社の品質はしっかりしている」ということを取引先に示すことができるのです。
公共事業の入札加点に
工業事業の参加条件にはISO27001を取得していることが前提の場合があります。土木や建築の場合は水道工事など個人宅への公共事業での入札加点になったり、IT関連ではシステム構築、保守、運用の入札加点になる場合があります。
業務効率化
ISO27001を取得するにあたって、作業工程の見える化を行います。その過程でこれまで見えなかった業務の無駄などを削減することができるため、業務効率の見直しを行うことができるのです。
社内の意識改革
ISO27001を取得する過程で組織図や業務の割り振りを整えていきます。こうすることで、社員各々の役割や目指すものが明確になり、一人ひとりの意識が変わっていきます。
取引や契約を優位にする・社内の改善が主な理由
ISO27001を取得する目的は企業によってさまざまです。
主な理由としては、取引先からの信頼獲得、公共事業の入札加点、業務の効率化、社内の意識改革などがあります。
取引や契約を優位にするためや社内整備などに重きを置いていると考えられます。
ISO27001はどんな企業が取得しているのか?
情報セキュリティに関するこの規格は、IT企業での取得が圧倒的に多いです。
その他にも、運送業や廃棄物処理業者など、機密情報を扱う業態で取得される企業も多く存在します。
ISO27001取得の流れについて
ISO27001の内容を把握したら次はISO取得の流れについて理解してみましょう。
最初はどこから着手するのか、全体像を把握することで取得に向けた動き方が理解できます。
ISO認証取得までの基本的な流れは各規格で同様です。
ISO取得のための準備を行い、ISO規格の要求事項に沿ったマネジメントシステムを構築し、実際に運用をします。その上で審査を受け、通過することでISO規格の認証取得となります。詳しい詳細はこちらで確認できます。
ISOプロでは月額4万円から御社に合わせたISO運用を実施中
ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。
また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。
こんな方に読んでほしい