ISO27001:情報セキュリティマネジメントシステム（ISMS）とは

　組織の情報セキュリティとは、組織の情報資産（データ、設備、施設、人員、情報、ブランド　等）をあらゆる脅威（情報の改ざん、流出、不正利用、盗難、もしくは施設や設備の破壊　等を指す）から守ること。それに尽きると思います。

　もう少し掘り下げてみます。組織の「情報資産の機密性、完全性及び可用性を維持する事」が情報セキュリティの定義となっています。機密性とは、認可された領域にある人のみに情報資産の利用をすること。完全性は、その情報が正確で最新であること。可用性は、情報資産を利用する人が、使いたいときにと使用できるようにすることです。

　ISO27001の0.1の概要に「ISMSは、リスクマネジメントプロセスを適用することによって、情報の機密性、完全性、及び可用性を維持し、かつ、リスクを適切に管理しているという信頼を利害関係者に与える。」と示しており、それがISMSの目的となります。

　シンプルにいうと、組織の情報資産をあらゆる脅威から守るため、リスクアセスメントを実施して、先手を打って、被害を受けるリスクを減らすもしくは被害を受けても組織にダメージが少なくなるようにするためのマネジメントシステムを構築して運用していくことです。

ISO27001の特徴について

　主に二つのことをお話しします。

（１）リスクアセスメントの実施
　組織の情報資産の価値を機密性、完全性、可用性の観点で評価を行い、どの情報資産が重要なのかを決定し、予め定めたリスク評価の基準に基づき、リスク評価を行います。その結果をもとに、優先度が高いものから管理策を立てて実施することが求められます。
　当然このリスクアセスメントは、一度実施して終わりではなく、都度見直していくことが必要です。日々脅威は変化しており、都度リスクアセスメントを実施し、その変化に対応していくことが必要となるからです。

（２）「附属書A（規定）情報セキュリティ管理策」
　ISO27001の要求事項に、他のマネジメントシステムにもある4節から10節までの規格要求事項の本文以外に「附属書A（規定）情報セキュリティ管理策」の93の要求事項の項目があります。この要求事項は、情報セキュリティのリスクをもとに定められています。前述のリスクアセスメントもこの要求事項をもとに対応策を立てていく必要があります。

ISO27001の運用に大切なことをコンサルが導くことができるか

　一つ目は情報セキュリティの一般的の知識は必要なのはもちろんですが、何よりリスクアセスメントが何のために行われるのかを理解し、組織に教育を行えることです。昨今は、タイムパフォーマンスを重視し、様式と手順、記載例を示し、その通り実施するように指導しているところが多いと思います。

　そのことを否定はしません。ただ、コンサルがいなくなった後に運用できるようにしているかが重要です。認証取得後に殆ど代わり映えしないリスクアセスメントのままで良いのか、しっかりと見直しができるようにしているのか、そこは組織が、情報セキュリティを維持したいのか問われるところです。

　二つ目は、新たな脅威について、情報を入手し対策を打つことはよくやっていると思います。ただ、情報セキュリティの最大の脅威は、組織の要員の情報セキュリティリスクの認識が低いことで、その脆弱性を突かれてしまうことです。

　認証取得に携わった人以外に、組織全体へ情報セキュリティについて、リスクアセスメントを含めての教育を継続できる仕組み作りができるかです。そこは、肝になるところです。

　弊社は、情報セキュリティの教育を含めて、認証取得後も情報セキュリティのリテラシー向上のための支援を行っています。