ISO27001 COLUMNISO規格の知識コラム(ISO27001)

ISO27001 コラム

ISO27001

ISO27001(ISMS)の規格要求事項とは?

2022.03.03
ISO27001(ISMS)の規格要求事項とは?

この記事の3つのポイント

  1. リスクアセスメントとは、「どのようなリスクがあるのか?」を見つけ、「その発見したリスクがどの程度社内に影響があるのか?」を分析→「リスクに対してどう対策をしていくのかを決める」こと
  2. 管理策は組織内の適用業務の範囲内で該当する内容に関して、適用させればOK
  3. 自社が抱えるリスクへの対応策や実施事項が見えると把握管理がしやすくなる

ISO27001は、情報セキュリティマネジメントシステム(ISMS)に関する国際規格です。
情報セキュリティマネジメントシステム(ISMS)とは、具体的には情報の機密性・完全性・可用性の3つについてマネジメントし、情報を有効活用するための組織の枠組みの事です。

さて、そのISO27001(ISMS)では何を求められているのでしょうか。
今回のコラムではISO27001(ISMS)の規格要求事項について解説致します。

ISO・ISMS審査に関するご質問は
お気軽にお問い合わせください!
お問い合わせフォーム

ISO27001(ISMS)の規格要求事項とは?

要求事項」とは、ISO27001(ISMS)という規格の中で求められているISO27001(ISMS)取得の為に企業が実現するべきである要件の事です。

ISO27001(ISMS)の取得をする為にはこの要求事項の要件を満たしておかなければなりません。
ISO27001(ISMS)要求事項では、製品やサービスの仕組みや管理方法などのプロセスがきちんと動いているのかを判断します。

ISO27001(ISMS)の規格の具体的な要求事項は以下の通りです。

  • 0項  序文
  • 1項  適用範囲
  • 2項  引用規格
  • 3項  用語及び定義
  • 4項  組織の状況
  • 5項  リーダーシップ
  • 6項  計画
  • 7項  支援
  • 8項  運用
  • 9項  パフォーマンス評価
  • 10項 改善

これに加えて付属書A(管理策)も求められます。(詳細は後述致します。)

0~10項までの項目はISO27001(ISMS)本文で求められるもので、どのような組織でも必ず適用させる事が求められる内容となります。
その中で特に肝となるのが、「情報セキュリティリスクアセスメント」と呼ばれるものです。

情報セキュリティリスクアセスメント

情報セキュリティリスクアセスメントとは、

情報セキュリティリスクアセスメント:①リスク特定、②リスク分析、③リスク評価

の3つのプロセス全体の事を指します。
それぞれ詳しく見てみましょう。

1)リスク特定

リスクを見つける・リスクの洗い出しをすること、要するに「どんな危険性があるのか」を確認するということです。

普段の業務の中で「大切な情報だな」と感じるものを洗い出す事で、その洗い出したものが大事な資産であると気が付くことができます。
そしてその大事な資産に対してどんな危険性が潜んでいるのかをまずは把握していきましょう。

2)リスク分析

「1)リスク特定」で見つけたリスクに

  • どんな特性があるのか
  • どの程度の影響を持っているのか
  • どの範囲まで影響が及ぶのか

を調べて分析することです。

3)リスク評価

「2)リスク分析」で調べて分析をした結果を元に、そのリスクをどうするのか・どのリスクを優先的に対応をしていくのかの判断材料を集めることです。

組織の中で検討して最優先で対応をするべきか、それとも一旦据え置いても現状問題がないのか等、様々な対応や優先順位の付け方があると思います。

以上3つのプロセスを実施することで社内のリスクの全容を把握することが出来ます。

つまりリスクアセスメントとは、「自分の会社にとってどのようなリスクがあるのか?」を見つけ、「その発見したリスクがどの程度社内に影響があるのか?」を分析する。
そして自社にとっての重要度を把握した上で、そのリスクに対してどう対策をしていくのかを決める活動のことです。

管理策

管理策とは、特定のリスクを低減させる事を目的として行う対策のガイドラインのようなものです。
先述のリスク評価をしたリスクに対しての対応策として、どの管理策を当てはめて対応していくのかを決めます。

管理策は全部で114項目ありますが、全てを必ず適用させなければならないという事はありません。
組織内の適用業務の範囲内で該当する内容に関して、適用をさせればOKです。

管理策の各項目の内容は、

  • テレワークに関する事
  • システム開発に関する事
  • データのバックアップに関する事
  • マルウェアに関する事
  • 外部委託に関する事

等々、多岐にわたります。
そしてどの項目が適用であるか、どの項目が適用ではないかを記したものが「適用宣言書」です。

適用宣言書はISO27001(ISMS)規格の中で文書化するように求められているため作成が必要となりますが、自社が抱えるリスクへの対応策が何であるのか、何を実施しているのかが見える化されていると把握管理もしやすくなります。

ISO27001(ISMS)取得のためだけでなく、組織の情報セキュリティマネジメントを行っていく上で是非ご活用いただければと思います。

GCERTIのISO27001(ISMS)審査は審査がスピーディ・審査料が安い・お客様の負担が少ない

今回はISO27001(ISMS)規格の要求事項について、特に主となるポイントを解説させていただきました。

特に管理策はボリュームのあるものではありますが、本記事がISO27001(ISMS)規格ってこんな感じの事が求められているんだな、とざっくりでもご認識頂くための一助となれば幸いです。

  • SNSでシェアする

1分でカンタン!
なんでも質問フォーム

株式会社GCERTI-JAPAN
ISO審査機関です。
コラムの内容やISOに関することでお困りの際はお気軽にご相談ください。
ISO審査員がお答えします。

小林 卓慈
小林 卓慈ISO審査員

一審査員として、社会貢献ができるよう努めてまいります。 また、営業面ではお客様にとって、より良い提案ができるよう、お客様とのコミュニケーションを大事にしております。

お問い合わせはこちら
お問い合わせはこちら
お見積もり依頼 お問い合わせ

Social media & sharing icons powered by UltimatelySocial