ISO27001・情報セキュリティマネジメントシステム認証取得支援コンサルティング

情報セキュリティとは、JIS Q 27000 : 2014では次のように定義されています。
情報セキュリティ（information security）とは情報の機密性(2.12)、完全性(2.40)及び可用性(2.9)を維持すること。

ここで、機密性（confidentiality）とは、認可されていない個人，エンティティ又はプロセスに対して，情報を使用不可又は非公開にする特性をいう。また、完全性（integrity）とは、資産の正確さ及び完全さを保護する特性をいい、可用性（availability）とは、認可されたエンティティが要求したときに，アクセス及び使用が可能である特性をいう。これらをバランスよく維持することを指します。

国際規格ISO27001:2005「情報技術−セキュリティ技術一情報セキュリティマネジメントシステム・要求事項」は、情報セキュリティ（information security）をマネジメントするシステムの要求事項が書かれた規格です。
その後、規格の改定が行われ、現在の最新規格は、2013年版（ISO27001:2013）となっています。

＜＜ISO/IEC 27001:2013の改定の経緯＞＞
ISO/IEC 27001：2005は、2008年10月にISOの定期見直しが開始され、3年間の見直しの予定でしたが、2009年 にISO Guide 83のマネジメントシステム 規格の上位構造（High Level Structure）、 共通テキスト（Identical core text）等の 考え方により改定作業が見直されました。
その結果、共通テキストをベースにした改定 作業が進められることになりました。
2015年現在、ISO/IEC 27001:2013は正式な国際規格として定着し、認証取得企業は新規格への移行を進めている段階にあります。

ISMSとは情報セキュリティマネジメントシステム（Information Security Management System）の略称です。企業などの組織が情報を適切に管理し、情報セキュリティを確保するための体系的なしくみ。コンピュータシステムのセキュリティ対策だけでなく、情報を扱う際の基本的な方針(セキュリティポリシー)や、それに基づいた具体的な計画、計画の実施・運用、一定期間ごとの方針・計画の見直しまで含めた、トータルなリスクマネジメント体系のことを指しています。

　 　情報セキュリティ（information security）は電気や水道などのインフラと同じようなものとなりました。社会に情報通信が普及発展したことに伴い、個人情報の漏洩や企業の重要な機密情報の漏洩などの事件、事故が発生するようになり、組織のリスクマネジメントとして情報管理の必要が求められてきたことが背景にあります。情報セキュリティマネジメントシステムは国際規格として登場し、日本をはじめ世界で普及し出しています。最近ではIT関連企業のみならず、製造業、建築業、サービス業など適用する業種も多岐にわたっています。
　情報セキュリティマネジメントシステム（ISMS）とは、個別の問題毎の技術対策の他に、組織のマネジメントとして、自らのリスク評価により必要なセキュリティレベルを決め、プランを持ち、資源配分して、システムを運用することです。
　組織が保護すべき情報資産について、機密性、完全性、可用性をバランス良く維持し改善することが情報セキュリティマネジメントシステム(ISMS)の要求する主要なコンセプトです。

　国際規格ISO27001:2005「情報技術−セキュリティ技術−情報セキュリティマネジメントシステム・要求事項」は、情報セキュリティ（information security）をマネジメントするシステムの要求事項が書かれた規格です。この ISO/IEC 27000 シリーズは2013年に改訂され、最新版はISO/IEC 27001:2013です。

　ISMSは、企業などの組織が情報を適切に管理し、情報セキュリティを確保するための体系的なしくみで、コンピュータシステムのセキュリティ対策だけでなく、情報を扱う際の基本的な方針(セキュリティポリシー)や、それに基づいた具体的な計画、計画の実施・運用、一定期間ごとの方針・計画の見直しまで含めた、トータルなリスクマネジメント体系のことを指しています。

• 好むと好まざるに関わらず、企業の活動の奥深くまでコンピュータネットワークシステムが入り込んできている。 これは既に避けることが出来ないものとなっている。
• 既にインターネットシステムは、輸送・交通、エネルギー、金融のネットワークとともにそれらを支える基幹の情報ネットワークとしてライフラインとなっている。
• あらゆる分野、あらゆる立場で「情報セキュリティ」が極めて重要となっている。
• 言い換えれば、ひとたび「情報ネットワークシステム」に何か問題が発生すれば企業の 継続性にも大きな影響が及ぶことを意味し、日常生活も大きな影響を受けることを意味 している。

Plan−計画（ISMSの確立）

全般的な基本方針及び目標に沿った結果を出すための、リスクマネジメント及び情報セキュリティの改善に関連する情報セキュリティ基本方針、目標、プロセス及び手順を確立する。

Do−実施（ISMSの導入及び運用）

情報セキュリティ基本方針、管理策、プロセス及び手順を導入し、運用する。

Check−点検（ISMSの監視及び見直し）

情報セキュリティ基本方針、目標及び実際の経験に照らしてプロセスの実施状況を評価し、可能な場合これを測定し、その結果を見直しのために社長に報告する。

ACT−処置（ISMSの維持及び改善）

ISMSの継続的な改善を達成するために、内部監査及びマネジメントレビューの結果やその他関連情報に基づいて是正処置及び予防処置を講ずる。

ISO27001のシステム構築の始めにISMSの適用範囲を決め、ISMS基本方針を制定する。制定した基本方針に基づいて、リスクマネジメントを始めとした具体的な構築作業に取りかかる。ISO27001認証取得の中核となるリスクマネジメントについては、まずリスクアセスメント手法を決定（Step１）する。

　続いて、保護すべき情報資産に対するリスクを識別（Step２）し、リスクを分析し評価（Step３）する。
　組織が所有する情報資産の脅威（意図的（故意）、偶発的（故障・過失）、環境的（災害））、脆弱性などを情報のライフサイクルを考慮してリストアップし評価するのである。
　脅威の網羅的に洗い出すのは、実際問題、非常に困難である。特に攻撃手法には多様なものがあり、うまく分類できない。セキュリティ技術に関する知識が必要になるので、当社のように実績のあるコンサルタントや専門家も含めて検討するのが無難である。情報資産のライフサイクル、システムの構成などを手がかりに、リストアップしていくにはノウハウが必要である。

　さらに、リスク対応についての選択肢を明確にし、評価（Step４）し、リスク対応に関する管理目的と管理策を選択（Step５）する。
　例えば脅威に一貫性がある場合は汎用アプローチをとり、脅威に一貫性がない場合は個別アプローチをとる。データの改ざん、なりすましといった脅威に対しては、デジタル署名のような汎用的アプローチがとれるが、Webサーバへの攻撃、ウィルスに対しては、最新のパッチを入れる、多種のウィルスに対するパターンファイルを準備するなど、個別対応のアプローチをとることになる。
　経営陣は残留リスクの承認（Step６）と、当該ＩＳＭＳの導入及び運用について許可（Step７）し、最後に適用宣言書を作成（Step８）する流れとなる。
　なお、リスクマネジメント用語の汎用的な定義によれば、リスクマネジメントとは「リスクに関して組織を指揮し管理する調整された活動」としている。この結果を元に、各社の業務運営実態に則した各種規定類の策定を行い、経営者の承認を得る。

リスクアセスメントにはいくつかの手法があり、企業が自社の情報資産やその保護の状況を勘案してどの方法を選択するかを決定する。リスクアセスメントは始めてISMSのシステム構築に取り組む際に最も難しい部分となる。自力で行なうより、信頼と実績のあるプロのコンサルタントを活用することがムリ・ムダのない取り組みとなる。
分析手法の例として一般的には次の４つの手法がある。
１．ひとつまたは複数の対策を一律にシステム全体に適用する方法（ベースラインアプローチ）
２．専門家や経験者の知識に依存して実施する方法（非形式的アプローチ）
３．情報資産の一つひとつについて詳細な分析を実施する方法（詳細リスク分析）
４．ベースラインアプローチと詳細リスク分析を組み合わせる方法（組み合わせアプローチ）
これらの手法については、ＩＳＭＳユーザーズガイド−リスクマネジメント編「補章２ ＧＭＩＴＳにおけるリスク分析の手法」に解説がある。特長を理解して、最適な手法を選択する。

＜＜リスクアセスメント＞＞
ISO/IEC 27001：2013「6.1．2 情報セキュリティリスクアセスメント」では、「組織は、次の事項を行う、情報セキュリティリスクアセスメントのプロセスを定め、・・リスク基準（リスク受容基準、情報セキュリティリスクアセスメントを実施するための基準等 ）を確立する」としている。

一方、ISO/IEC27001：2005では、「リスクアセスメントに対する組織の取組み方を定義する。これには、・・事業上の情報セキュリティの要求事項、並びに特定された法令及び規制の要求事項に適したリスクアセスメントの方法の特定、リスクを評価するに当たっての基軸の確立、リスク受容基準の設定、リスクの受容可能レベルの特定、リスク受容基準及びリスクの受容可能レベルを決定する」としている。

このことは、リスクアセスメントの記述レベルをISO 31000に合わせた要求事項になっていると考えられる。
ISO/IEC 27001：2005での資産、脅威、脆弱性等によるリスクアセスメントプロセスの記述はなくなっているが、要求事項の上位レベルの記述（情報セキュリティリスクを特定する）には、C・I・A（機密性、完全性、可用性）は存在しているので、基本的にはリスクアセスメントの適用は同じであると考えられる。

詳細管理策 は以下のようにA.5からA.15まで11の領域／分類（管理目的：39個、管理策：133個）がある。適用宣言書でこれらの詳細管理策を採用するか否かを明確に記述する。

• A.5 セキュリティ基本方針
　
• A.6 情報セキュリティのための組織
　
• A.7 資産の管理
　
• A.8 人的資源のセキュリティ
　
• A.9 物理的及び環境的セキュリティ
　
• A.10 通信及び運用管理
　
• A.11 アクセス制御
　
• A.12 情報システムの取得、開発及び保守
　
• A.13 情報セキュリティインシデントの管理
　
• A.14 事業継続管理
　
• A.15 コンプライアンス

これが2013年版では、管理策の数が、2005 年の 133 から 114 になりました。（下記）

• A.5 情報セキュリティのための方針群
　
• A.6 情報セキュリティのための組織
　
• A.7 人的資源のセキュリティ
　
• A.8 資産の管理
　
• A.9 アクセス制御
　
• A.10 暗号
　
• A.11 物理的及び環境的セキュリティ
　
• A.12 運用のセキュリティ
　
• A.13 通信のセキュリティ
　
• A.14 システムの取得、開発及び保守
　
• A.15 供給者関係
　
• A.16 情報セキュリティインシデント管理
　
• A.17 事業継続マネジメントにおける情報セキュリティの側面
　
• A.18 順守

これからシステム構築をされる組織は事前のチェックとして、次のチェックをしてみるとよいでしょう。

• 物理的・環境的側面のチェック（出入口やパーティションなど）
• オフィスセキュリティ面でのセキュリテイゾーンのチェック（オフィスレイアウト図）
• ネットワーク環境のチェック（ネットワーク図）
• 情報管理に関するコンプライアンス上のチェック（ソフトウェアライセンスなど）
• 新規システム構築または更新の検討
• 関連する過去のセキュリティ事件・事故
• セキュリティ組織の編成

　システム導入運用にあたり社員教育を実施する。初回構築時におけるＰＤＣＡの運用であるＤｏは、初めての取り組みとなるため、開始時は特に「試行」的な運用として、試行錯誤を繰り返しながらシステム運用を確立していくことになる。そのため、取得期限などを加味しながらも出来る限り長い期間を取って、定められた規則や手続きに従い、各人の役割を確かめながら進めていくことが肝要となる。
次にISO27001規格に基づき、運用状況を点検、評価する内部監査を実施する。内部監査において指摘された事項、日々の事件・事故報告、また情報セキュリティに関する利害関係者からの報告事項などをもとに是正処置及び予防処置を実施する。
内部監査結果などのインプット情報を収集してマネジメントレビューを実施する。

1. その組織にあったリスク評価を行い、現状に合った対策を実施する。
2. 適切なリスク対策の策定と実践。
3. 啓発・教育・訓練で、従業員意識の維持／向上を図る。

製造業、医療情報処理業におけるISO27001・情報セキュリティマネジメントシステムは下記をクリック。

| 製造業におけるISO27001・情報セキュリティマネジメントシステム | 医療情報処理業におけるISO27001 | ISO27001用語解説 | 詳細管理策の項目 | 資料＆解説参考本の紹介 |

　ISO27001、JIS Q27001の解説参考本の紹介は、ISO27001 解説参考本の紹介を参照ください。

・お客様のニーズにもとづき、ISO取得や改善に必要なサービス内容、工数等を設定できます。お問合わせください。
・既にシステム運用をしていて、改善したい、運用を支援してもらいたいのだが。。。といった改善のご相談もお気軽にお問合わせください。

・マニュアルや管理文書の改良（高度化、整合化、削減など）のための書き換えサービスを実施しております。
・ISO9001,ISO14001など他規格との統合マネジメントシステムも対応可能です。
・サービス内容はお客様との相談により対応しております。
・お気軽にお問合わせください。

・実績豊富なISOコンサルタントがISO9001、ISO14001、Pマーク取得ノウハウをご提供致します。
・ISO担当者だけでなく経営者も必見の情報です。まずは最新の無料レポートをご覧下さい。
・ISO27001,ISO14001,ISO9001,Pマーク取得に関するお悩み・ご相談を無料メール相談でお受けします。
・専門家のアドバイスを受けたい方、まずはこの無料サービスをご利用下さい。