ISO27001（ISMS）の要求事項ポイント

2021年10月26日

こんにちは。
ISOコム　マネジメントコンサルタントの加藤　政夫です。
今日は「ISO27001（ISMS）の要求事項ポイント」をお話してみたいと思います。

当社のISOコンサル実績はこちら

ISOマネジメントシステムの共通要素とは

まずISO27001の要求事項についてお話する前に、他のISOとの共通点について確認しておきましょう。

皆さんの組織では、既にISO9001やISO14001認証取得して、運用しているところも多いと思います。

ISO（国際標準化機構）でも同様の議論がなされ、2012年2月に、ISO/TMB（技術管理評議会）において、制定／改正される全てのISO マネジメントシステム規格（ISO MSS）が共通要素を採用して開発されることが義務付けられました。

現在では、ISO9001、ISO14001、ISO27001を含むほとんどのマネジメントシステムが共通要素を採用しています。

共通要素の特徴として、以下の項目が挙げられます。

(1) 事業と結びついたマネジメントシステム
会社にとっての「外部・内部の課題」（例えば、コロナ禍への対応など）と「利害関係者の要求事項」（例えば、お客様から認証取得を要求されるなど）をマネジメントシステム構築の起点としています。

(2) 「リスクと機会への対応」による計画
上記の「外部・内部の課題」と「利害関係者の要求事項」から、リスク（想定外のこと）や機会（ビジネスチャンス）を導出し、リスクと機会に対して、どのように対応するか決めることが、マネジメントシステムの計画と定義しています。

(3) 経営者（トップマネジメント）の積極的な関与
マネジメントシステムが、事業に対して貢献し、成果を上げるためには、経営者の積極的なかかわりが必要なことは、言うまでもないことですが、規格上にも明記されています。
「目標達成にむけて、 問題に当事者として 取り組み、解決策を見出し、 それを実行しようとする意識を持つこと」が要求されています。

(4) 文書・記録の要求事項は必要最低限に
従来から、マネジメントシステムというと、文書・記録を作らないといけないと意識を持たれてる方が多いのではないでしょうか。そのようなことにならないよう、必要最小限のものに限定しています。

ISO/IEC 27001:2013では、ISOマネジメントシステムの共通要素をベースに作られましたので、上記の特徴を持っています。

次に、ISO27001の規格としての特徴とポイントを挙げます。

ISO27001要求事項のポイント「情報セキュリティリスクアセスメントとは？」

「リスクと機会への対応」については、前述しましたが、ISO27001による情報セキュリティを対象とするときには、より詳細な取組みを要求しています。

それが「情報セキュリティリスクアセスメント」となります。

情報セキュリティでは、情報に対して、以下の3つの特性（CIA）を守ることとしています。

1) 機密性（C：confidentiality）
「認可されていない個人、エンティティ又はプロセスに対して、情報を使用させず、また開示しない特性。」
つまり、情報には、限定された組織や人でしか、開示や利用できないという機密性があります。

2) 完全性（I:integrity）
「正確さ及び完全さの特性。」
つまり、情報には、改ざんや欠落などがない状態でなければならないという完全性があります。

3) 可用性（A:availability）
「認可されたエンティティが要求したときに、アクセス及び使用が可能である特性。」
つまり、情報には、許可された利用者が、必要な時にアクセスし使用できるという可用性があります。

ISO27001の規格の中では、以下のことが要求事項として要求されています。

1. 会社で扱う情報にたいして、CIAが損なわれるリスクを洗い出す。

2. 洗い出したリスクに対して、リスクが発生した時の重大さと、起こりやすさを評価する。

3. 上記評価結果から、基準値を設けて、会社組織として対応するべきリスクの優先順位を決める。

4. 優先度の高いリスクに対して対応する。必要であれば、リスク対応の計画書を作成する。（例えば、入退室管理システムを導入しなければならない時には、システムの導入をいつまでに行い、運用をいつから開始するのかの計画を纏めます。）

5. もし、対応することができない場合には、残留リスク（リスクが発生した場合には、そのとき対応を考える）として責任者の承認を得る。

具体的な実施方法については、前回の「ISO27001の取得方法」のブログで紹介しましたので、参考にしながら、自社で実施する手順を決めて、文書化することになります。

ここでのポイントは、会社組織として対応しなければならないリスクを見逃さないことです。

管理策とは？

前述の情報セキュリティリスクアセスメントの結果で、リスク対応するときには、標準的な管理策（114項目）が既に規格の中に記載されています。

例えば、リモートワークに関わるものを挙げますと以下のものがあります。

・テレワーキング
「テレワーキングの場所でアクセス，処理及び保存される情報を保護するために，方針及びその方針を支援するセキュリティ対策を実施しなければならない。」

以下のように分類されます。

1) 基本的対策
・組織的対策（経営管理者が整備すべき社内的体制や規程類）
・人的対策（従業員一人ひとりの規則遵守（コンプライアンス）、運用と管理）
・物理的対策（オフィスへの入退室・施錠管理、情報機器や記録媒体の管理）

2) 技術的対策
ウイルス対策ソフトやファイアウォール（社内のネットワークを外部の攻撃から守る装置）などの正しい配置と運用による防御、ならびに常時監視、定期チェックによる検知・発見

規格では、その標準的な管理策を自社にとって、必要かどうかを判定し、その結果を「適用宣言書」という文書に纏めなければなりません。

ISO27001（ISMS）の取得は当社のコンサルにお任せください！

最後までご覧いただき、ありがとうございます。

ISO27001要求事項のポイントを理解され、ISO27001（ISMS）の構築、運用に興味を持たれましたでしょうか。

適当にISMSの構築、運用してしまうと、せっかく労力をかけ、時間をかけて作った仕組みが上手く機能せず、貴重な情報資産を漏洩したり、壊してしまったり、アクセスできなくなってしまったり・・・お客様へも、社内へも大変な迷惑をかけてしまい、信用を失ってしまうかもしれません。

当社では経験が豊富で、あなたの会社の課題を解決できるようISMSの構築、運用を支援するコンサルタントが揃っています。

ISMS、ISO27001の構築、運用、スリム化等、ご興味のある方は今すぐこちらまでご相談を！

ISOコム株式会社お問合せ窓口 0120-549-330