ISOは、国際的な取引を円滑におこなうことを目的とした基準です。今回は、さまざまあるISOのなかでも情報セキュリティマネジメントシステムに関するISO27000ファミリーについて解説しましょう。ISO27000ファミリーのなかで要求事項を定義するISO27001認証を取得することで、組織内外から信頼を獲得することも可能です。重要な情報を守るために組織のルールを決めて実行したい方にとって必見の内容ですので、ぜひご一読ください。
ISO27000ファミリーとは
ISO27000ファミリーとは、情報セキュリティマネジメントシステム(ISMS:Information Security Management System)に関する規格群のこと。ISO(国際標準化機構)とIEC(国際電気標準会議)によって策定されました。
情報セキュリティの管理・リスク低減に関するフレームワークとして国際的に活用されています。PDCAサイクルを採用し、情報セキュリティマネジメントシステムの確立・導入・運用・監視・レビュー・維持などが目的です。大まかにいうと、情報セキュリティに関する管理の枠組みと捉えるよいでしょう。
主なISO27000ファミリー
ISO27000ファミリーに属する主な規格の概要をまとめてみましょう。それぞれ目的や役割が異なるため、違いを意識してみてください。
ISO27000
ISO27000には、概要説明や要求事項のなかに出てくる基本的な用語の解説が書かれています。なお、要求事項とは、各規格において組織が実現すべき基本要件のことです。 要求事項に適合しているかどうかを評価し、規格の認証がおこなわれます。
ISO27001
ISO27001は、情報の機密性・完全性・可用性の3つをバランスよくマネジメントし、情報を有効活用するための組織の仕組み作りを示したものです。業種・業態を問わず、あらゆる組織が利用して認証を取得することが可能。
情報セキュリティマネジメントシステムの確立・運用・チェック・改善や情報セキュリティのリスクアセスメントおよびリスク対応に関する要求事項を定めており、ISO27000ファミリーの中核を成すものです。
ISO27001認証取得企業
2020年11月時点では、「あおば 社会保険労務士法人 本社・静岡オフィス」や「東京ガスエンジニアリングソリューションズ株式会社 パイプライン本部 マッピング技術部」「株式会社ISTソフトウェア 本社」などが、ISO27001認証を取得しています。
ISO27001認証を取得すると、情報リスクの低減や社員の情報セキュリティ意識・モラルの向上、業務効率の改善・組織体制の強化などが図れるでしょう。そのほかにも、組織内外から信頼を獲得することにより海外を含む取引企業の増加や企業競争力の強化を期待できます。ISO27001認証を取得するためにはコストがかかりますが、得られる効果は大きいです。
ISO27002
ISO27002は、要求事項をもとにしてより具体的でかつ実践的な情報セキュリティマネジメントの管理方法を示した規格。日本では「情報セキュリティマネジメントの実践のための規範」と訳されており、広く知られています。
ISO27001を日本語に訳したJIS Q 27001でも具体的な方針が示されていますが、その管理方法が114種類であるのに対し、ISO27002(JIS Q 27002)では1,000種類近くの管理方法が記載されているのが特徴的です。
この1,000種類近くの管理方法すべてを実施するのは難しいですが、自社に合ったものを取捨選択して最適な体制を整えるとよいでしょう。
ISO27003
ISO27003は、情報セキュリティマネジメントシステムを実施するための手引きです。要求事項に従って構築した情報セキュリティマネジメントシステムを実践するためのガイドのような役割を担っています。
ISO27004
ISO27004は、情報セキュリティマネジメントシステム自体やマネジメントシステムの有効性を評価するための手段を明らかにし、リスクアセスメントをおこなうためのガイドです。ISO27002で示している管理方法に合わせた具体的な手段が明記されています。
ISO27005
ISO27005は、リスク管理のプロセスと情報セキュリティ管理に関わる作業や手順を規格化したものです。組織の情報資産を安全に保つことに焦点を当てています。
上記のほかにも、企業の情報セキュリティマネジメントシステムを審査する機関および認証する機関に対する要求事項を示す「ISO27006」や情報セキュリティマネジメントシステム監査の指針を示す「ISO27007」など。その種類は多く存在します。
ISO27000ファミリーの中核を成すISO27001を取得したうえで、自社の提供する商品やサービスに応じて取り組むことで、より強固なセキュリティ体制を構築できるでしょう。
要求事項はISO27001
ISO27000ファミリーにおける要求事項を示しているのは、ISO27001です。ISO27001は、組織の状況やリーダーシップ、計画などから構成されています。
組織の状況では、利害関係者のニーズおよび期待を理解し、情報セキュリティマネジメントシステムの適用範囲を決定。また、リーダーシップでは、組織の役割や責任および権限を明確化。これらを計画・運用・パフォーマンス評価・改善していきます。
プライバシーマーク(Pマーク)と混同されることもありますが、プライバシーマークが日本国内でのみ使われている個人情報の取り扱いに特化したマネジメントシステムであるのに対し、ISO27001は個人情報に限らず組織が保有するすべての情報をすべてカバーする国際的なマネジメントシステムであるという違いがあるため、分けて理解しておきましょう。
また、ISO27001は、情報セキュリティマネジメントシステムを適用する組織の活動に応じて、適用範囲を組織全体または一部のみと定められるのが特徴的です。
ISO27001認証取得まで流れ
次に、ISO27001認証取得までの流れを解説します。いくつかのステップがあるため、順を追っていくのが大変かもしれませんが、1つずつクリアしていきましょう。
適用範囲の検討と基本方針の決定
まずは、ISO27001の適用範囲と基本方針を決定します。組織全体で取得することも可能ですが労力がいるため、1つの部署や1つの支店だけで取得する方針を掲げてもよいでしょう。決定した方針に従って大まかなスケジュールを立てていきます。この際に、社内体制を確認し、管理責任者や監査責任者を決めるようにしましょう。ISO27001認証取得まで中心となる人物を明確化します。
リスクアセスメントの実施
次におこなうことは、社内で所有する情報の洗い出しや情報セキュリティ体制の整備、リスク分析・対応方法の策定などです。
リスクは、できる限りの対策をとってもゼロにはならないでしょう。経営的な判断で対応を見送ったリスクは、残留リスクとして経営陣に承認を得るとよいです。
審査や運用で必要になる文書の作成
ISO27001の審査および日々の運用で必要な内部規定といった文書を作成します。多忙な業務のなかISO27001認証の取得を目指すため、ついつい審査に通るための文書作成になりがちですが、この過程で業務レベルでの手順書を作れるとよいです。いずれ必要になるときが来るはずですので、手を抜いてはいけません。
従業員への周知や教育
適用範囲に定めた従業員に対して、情報セキュリティの概要や組織内で実施する管理方法などの周知・教育を実施します。このときに、周知および教育に必要なテキストやテストなども用意する必要があるでしょう。適用範囲内の従業員が多いと、このステップはかなり労力が要ります。そのことも考慮したうえで、適用範囲をきちんと見定めましょう。
内部監査とマネジメントレビュー
ルール通りに運用が実施されているか内部監査をおこないます。内部監査は、PDCAサイクルにおけるCheckにあたる重要な項目です。そして、ISO27001活動の集大成としてマネジメントレビューをおこないます。改善点を洗い出し、さらに自社に合った形へとシフトしていきましょう。
審査
そして、2段階の審査へと移行。ファーストステージ審査の文書審査では、作成した社内文書が要求事項に合っているか審査します。
セカンドステージ審査の現地審査では、各部門がルール通りの運用をしているかチェックしたり現状の運用で情報セキュリティ上のリスクがないか確認をおこなったりします。
審査時に不適合事項が検出された場合、所定の期限までに是正処置計画書の提出が必要です。是正処置が完了すると晴れてISO27001の認証をクリアしたことになります。
取得および運用
ISO27001認証の合格連絡から1ヶ月くらい経つと審査機関から登録証が届くでしょう。しかし、認証取得はマネジメントシステムの運用をおこなっていくためのスタートに過ぎません。ISO27001が形骸化しないよう日々改善していく必要があります。
登録証発行から約1年後に第1回定期審査があり、マネジメントシステムが継続して規格要求事項に適合しているか確認されます。その1年後に第2回定期審査、もうその1年後に更新審査と続きます。更新審査にて認可されたら新たな3年間を有効期限として登録証が発行されるので、継続的な取り組みが必要だといえるでしょう。
まとめ
今回は、ISO27000ファミリーについて解説しました。保有する情報資産を守って有効的に活用するための必要な観点です。情報の機密性や完全性などをバランスよく管理できる組織を作っていきましょう。もし、不明点があれば専門のコンサルタントに相談してみてはいかがでしょうか。
