ISO/IEC27001（情報セキュリティマネジメントシステム：ISMS）

情報セキュリティの3要素（機密性、完全性、可用性）

機密性：許可されていない個人、エンティティ又はプロセスに対して、情報を使用させず、また、開示しない特性
• 完全性：正確さ及び完全さの特性
• 可用性：認可されたエンティティが要求したときに、アクセス及び使用が可能である特性

JIS Q 27001（ISO/IEC 27001）は、組織が自社で保護すべき情報資産を洗い出し、各情報資産に対して機密性（Confidentiality）、完全性（Integrity）、可用性（Availability）をバランスよく維持し、改善していくことを可能にする仕組みを構築することを目的とした規格です。
2002年にISMS認証制度が日本で本格的に始動し、その後の2005年にISO27001が発行されました。その後、個人情報保護法の完全施行され、情報セキュリティ対策が重要な経営課題として取り上げられるようになりました。これを契機にISMS認証制度の普及に拍車がかかっていきました。
ISO/IEC27001の主な狙いとしては、情報セキュリティ事件・事故は時代とともに変化し、複雑化、巧妙化、 高度化、多様化、悪質化してきています。 また、対策にしても、技術的、人的、組織的、物理的と広範な対策が求められます。
このような中で、 情報セキュリティマネジメントシステムの意図した狙いとは以下のようにあげられます。

• 外部からの攻撃を防ぐ
• 内部からの漏洩、紛失、停止、破壊など防ぐ
• 社員の意識を高める（セキュリティ意識を高める）
• 遵法性の維持を行う
• 内・外の利害関係者の信頼を得る
• 信頼を受注に繋げ、利益に繋げる

JISO27001本文では、土台となるマネジメントシステムの「体制、仕組み、改善の枠組み」を提供し、その土台の上に情報セキュリティ、つまり、管理策「付属書A」が積みあがる構造となっています。
管理策は技術的、人的、組織的、物理的な視点からその対策が要求されています。そしてこのマネジメントシステム+管理策という構造を時代の変化に合わせて継続的に改善していくことが求められています。

情報を扱う企業を対象としているため、ほぼすべての業種が該当します。ただ、扱う情報の機密性や漏えいのリスクを考えた場合、情報技術系の業種が多く認証を取得しています。 また、会社規模も数名から数千人まで幅広く、扱う情報資産も多岐にわたっています（JMAQA登録者情報より）。

• 情報技術系
• 人材派遣業界
• 小売り、卸売り業界
• 医療業界
• 建設業界

　・・・など

• 情報セキュリティリスクの低減
• 対外的な信頼性の確保
• 経営資源の適切な投下、業務効率の改善や組織体制の強化
• 法令遵守（コンプライアンス）の推進
• KPI（キーパフォーマンス指標）の管理
• 継続的な改善による企業価値の向上
• 入札や海外企業を含む取引要件の達成
• 企業競争力の強化

ISO27001の認証取得は、第三者による審査を経ていることから、客観的な信頼の証となります。透明性・信頼性の確保が求められる昨今、信頼性の確保は重要な経営課題といえます。また、ISMSでは、リスクアセスメントの結果に基づき必要な対策を講じます。貴社にとって、何がリスクであるか、リスクを受容するのか整理することで、適切な経営資源を投下することが可能となります。
一方で、マネジメントシステムの観点から、法令遵守や社員の教育、パフォーマンスの管理などを「見える化」し、内部監査やマネジメントレビューにより経営側も運用状況を監視することができます。このような情報セキュリティリスクの低減とマネジメントシステム運用に基づく継続的改善がISMSの導入のメリットといえます。

• 情報資産の取り扱いに対する対外的な信頼感を確保することができる。
• リスクアセスメントの結果にもとづき、戦略的、重点的な情報セキュリティ対策を施すことで 　経営資源の適正配布、コスト削減につながる。
• 情報システムの重大な故障や災害発生時の事業活動の中断に備え、自社の事業継続性を確保する体制を整備できる。
• 自社に関連する情報セキュリティ関連法令を明確化し、教育を実施することで法令遵守の風土が根付く。
• 目的の設定、セキュリティ対策への責任と権限を明確化し、社員一人ひとりの責任感が醸成される。

内部監査における視点・ポイント

ISMS（ISO27001）の内部監査では特に以下のポイントが重要になってきます。

• 実務現場の弱点（セキュリティホール）を見つける事
• ISMSでは、セキュリティ事件・事故の予防が重要
• ￥セキュリティ事件・事故は、 「バケツの水漏れ」のように、備えの弱い部署や協力会社・従業者・プロセスなどから
• 組織変更（人員配置・構成など）、協力会社の変更等、変更による影響確認が重要
• 技術の進歩、環境の変化及び内外の事故事例等を注視し、現行ルールが尚適切かどうか

ISO/IEC27001の主な狙いとしては、情報セキュリティ事件・事故は時代とともに変化し、複雑化、巧妙化、 高度化、多様化、悪質化してきています。 また、対策にしても、技術的、人的、組織的、物理的と広範な対策が求められます。このような中で、 情報セキュリティマネジメントシステムの意図した狙いとは以下のようにあげられます。

• 外部からの攻撃を防ぐ
• 内部からの漏洩、紛失、停止、破壊など防ぐ
• 社員の意識を高める（セキュリティ意識を高める）
• 遵法性の維持を行う
• 内・外の利害関係者の信頼を得る
• 信頼を受注に繋げ、利益に繋げる

ISO27001本文では、土台となるマネジメントシステムの「体制、仕組み、改善の枠組み」を提供し、その土台の上に情報セキュリティ、つまり、管理策「付属書A」が積みあがる構造となっています。 管理策は技術的、人的、組織的、物理的な視点からその対策が要求されています。そしてこのマネジメントシステム+管理策という構造を時代の変化に合わせて継続的に改善していくことが求められています。

情報を扱う企業を対象としているため、ほぼすべての業種が該当します。ただ、扱う情報の機密性や漏えいのリスクを考えた場合、情報技術系の業種が多く認証を取得しています。 また、会社規模も数名から数千人まで幅広く、扱う情報資産も多岐にわたっています（JMAQA登録者情報より）。

• 情報技術系
• 人材派遣業界
• 小売り、卸売り業界
• 医療業界
• 建設業界

　・・・など

個人情報保護対策として多くの企業が取得に取り組んでいるPマーク（プライバシーマーク／個人情報保護マネジメントシステム）は、企業内全ての個人情報及び特定個人情報（マイナンバー）の取扱いを対象にした規格です。ISMSは、適用範囲内の全ての情報資産の取扱いを対象にした規格です。よってISMSの対象は個人情報を含んでおり、ISMSがPマークの対象を包含しているといえます。どちらが優れているかという問題ではなく、貴社の課題、顧客の要求、扱う情報資産の種類によって選択することが重要です。

貴社をとりまく状況を整理することから構築のステップは進みます。外部ステークホルダーを含めた外部環境や、組織体制、役割といった内部環境を勘案し、内部・外部の課題を決定します。そして、取引先や社会から貴社に求められるニーズを明確にし、具体的な施策に落とし込んでいきます。

貴社のとりまく状況を整理することにより、適用範囲を決定します。自社全体で認証を取得することも可能ですし、1部署、1支社など範囲を限定することも可能です。

リスクアセスメントの具体的な方法については、規格では明示していません。多くの場合、情報の移動によりリスクが変化するため、どのような状態になった時にリスクが高く、重点管理する必要があるかを把握することが重要です。これまでは資産の洗い出し、資産台帳からリスクアセスメントをするケースも多かったですが、情報漏えいは意図しない破棄、利用などにより起こり、情報の動きによってもたらされます。よって、プロセスと情報資産の両面でリスクアセスメントを行い、いかに管理していくかが、重要です。これらの管理策は付属書Aと比較し、見落としがないことを検討することも求められています。

貴社を取り巻く環境の把握、リスクアセスメントにより管理点を抽出し、情報セキュリティ目的（目標）におとしこんでいきます。この情報セキュリティ目的は事業計画と連動した形で戦略方向性と一致させることが望ましく、 全社、もしくは各部門レベルに展開させていきます。

トップの役割、社員の教育、目的（目標）を明確にしたうえで、運用レベルに入ります。その際重要になるのが顧客からの情報の対応ではないでしょうか。顧客の声が埋もれていないか、どのように吸い上げるシステムになっているかを、内部監査などを通じてチェックします。その結果をマネジメントレビューのインプットとすることで、トップのアウトプットを仰ぎます。

ISO/IEC27001において現地審査は、２段階に分かれています。 第1段階では主に文書の構築状況を、第2段階では運用状況を確認します。