iso27001取得までの流れとは?

iso27001は、情報セキュリティマネジメントシステムの要求事項をまとめた国際規格です。
最新版は2013年度発行のものになります。

情報セキュリティマネジメントシステムは略してISMSと呼ばれています。
ISMSの目的は取り扱う情報をリスクマネジメントを適用したプロセスで管理することです。
結果として、機密性、完全性、可用性を維持しながらリスクをコントロールできると言う信頼を利害関係者に示すことにあります。

リスクとは目的に対する不確かさです。

情報の場合は、脅威が情報資産又はグループの脆弱性によって組織に損害を与えるおそれです。
脅威には意図的又は偶発的な人為的脅威と環境的脅威があります。
リスクは不確かさなので完全に取り除くことはできません。

そのためリスクの起こる割合と起きた時の影響の大きさでリスクレベルを決定します。
そのリスクレベルに合わせて管理する方法を決定します。
基本的にはできる限りリスクを受容可能なレベルまで低減して、リスクを保有することで運用します。

つまり予測できる対応可能なリスクはそのままにしておくというものです。
そのためには発生の割合を下げる対策や起きた時の影響を下げる対策などを行います。

情報セキュリティマネジメントシステムの認証を取得するためには認証機関の審査を受ける必要があります。
審査は、ISO17021「適合性評価−マネジメントシステムの審査及び認証を行う機関に対する要求事項」に従って行われます。

流れとしては、2段階審査となります。

最初に枠組みである文書関連の審査を行い、その後記録などをもとに運用状況を確認する手順です。
審査を受けるためにはマネジメントシステムを構築し運用する必要があります。
そのいためにPDCAサイクルを利用します、
まずはPであるPlan、計画です。

その組織が目指す情報セキュリティマネジメントシステムの計画を策定します。
組織のどの範囲で取得するのかを検討します。
適用する範囲が定まったら方針の策定を行います。

方針とは、どのような方向性で情報マネジメントシステムを運用するのかを経営者が決定するものです。
その方針に沿ったリスクアセスメント手順を作成します。

リスクアセスメントとは、その組織が扱う情報資産に対するリスクを認識して、リストアップするリスクの特定とその特質を理解してレベル分けする分析、そしてその結果受容可能かどうかを決めるために比較を行う評価からなります。

そのためにはまず情報資産を把握する必要があります。
把握した情報資産に対してリスクアセスメントを手順にしたがって行います。

次にDであるDo、実行に移ります。

リスクへの対応計画を策定して実施します。

そして事業継続計画を策定して、試験し、再評価を行います。
情報セキュリティマネジメントシステムに関して規程を策定して、従業員等に教育を行います。

そうして出来上がったマネジメントシステムの運用を開始します。
しばらく運用してからCであるCheckの点検を行います。

セキュリティに関する事象やインシデントの監視をします。
そしてマネジメントシステムの有効性の評価を行います。

そのために内部監査などを行なって要求事項への適合性を確認します。
この時のチェック項目はiso27001の要求事項になります。
こうして運用した結果を経営陣で総括するマネジメントレビューを行い、これまでの状況の把握と今後の方針決めを行います。

ここでのアウトプットは次期の実施すべきことになります。

AであるActionによってマネジメントシステムによるアウトプットで決定した是正計画を実行に移します。
こうして継続的に改善されるマネジメントシステムが運用されます。
審査ではこれらの内容を確認します。

ファーストステージ審査でPlanで策定した計画を審査します。
作られた手順が要求事項に適合しているか、計画が適当かなどを判断されます。
セカンドステージでは、Do、Check、Actionで行われた実行の結果を確認して手順書や計画通り行われているかを確認します。

これらの審査で逸脱が発見された場合、指摘事項として是正措置による対応を要求されます。
その是正措置が実行されて、その結果が評価され、妥当であると判断されると適合と判断されます。
適合と判断された組織に対して認証書が発行されます。

iso27001の認証は一度取得したら一生有効というわけではありません。

その後運用に実績を毎年1回定期審査として確認が行われます。
そして3年目に更新審査を受ける必要があります。

だから最初の計画の際に認証取得のためだけに無理な手順を策定すると後の定期審査や更新審査の時に運用できないことで不適合と判断されるおそれがあります。
継続的にPDCAサイクルを回すためには通常の業務を手順化し、無理のない情報セキュリティマネジメントシステムを構築する必要があります。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です