ISO/IEC27001審査登録の概要

マネジメントシステム審査登録

ISO/IEC27001審査登録

｜お知らせ｜審査登録の概要｜
｜登録組織情報（新規登録・一時停止・登録取消・登録抹消・登録組織検索）｜

ISO/IEC27001審査登録の概要

■ 情報セキュリティとは

情報セキュリティの主題は、｢情報を適切に保護すること｣です。
情報セキュリティでは、次の3点からの体制構築とその維持が求められています。

機密性（Confidentiality）：
	認可されてない個人、エンティティ（団体等）又はプロセスに対して情報を使用不可又は非公開にする特性。

	“情報セキュリティ”という言葉から、一番意識されている要素です。“必要のない人に、情報を使わせない/見せない”という考え方です。

完全性（Integrity）：
	資産の正確さ及び完全さを保護する特性。

	情報が改ざんされたりしないようにすることです。

可用性（Availability）：
	認可されたエンティティ（団体等）が要求したときに、アクセス及び使用が可能である特性。

	せっかくの情報も、使いたいときに使えなければ意味がありません。ネットワークがダウンして業務に支障が出ることがないよう管理することも情報セキュリティの重要な要素です。

上記三つの要素を、それぞれの英語の頭文字をとって“情報セキュリティのCIA“ということがあります。
また、上記CIAに加えて、真正性、責任追跡性、否認防止及び信頼性のような特性を維持することも考えられます。

■ なぜ情報セキュリティマネジメントシステム（ISMS）が必要か

[ 1 ]  事業資産としての情報の重要性
[ 2 ]  ネットワーク・分散型システムの普及
[ 3 ]  情報システムへの脅威の増大
[ 4 ]  セキュリティ事故の高度化・大規模化
[ 5 ]  技術的対策の限界

[1] 事業資産としての情報の重要性
	情報及び情報システムは,事業に不可欠の資産であり、適切に保護される必要があります。しかしながら、多くの情報システムはセキュリティが保たれるように設計されてはきませんでした。
[2] ネットワーク・分散型システムの普及
	インターネットの普及によって、社外との電子的やり取りが急速に増大しています。社内にもネットワークが構築され、多くの組織がネットワークを常時利用して事業をおこなっています。また、コンピュータの高性能化・低価格化に伴う分散型システムの普及によって、一握りのシステム担当者のみならず、職員一人一人の端末上でも高度で複雑な処理が可能になっています。
[3] 情報システムへの脅威の増大
	上記[2]によって、事業活動は高度化・高速化・効率化していきましたが、その一方で、コンピュータを利用した不正行為、スパイ行為、妨害行為等の脅威が増大してきています。ホームページ情報が、不特定多数の人に公開されることで改ざんの危険性にさらされ、また、インターネットが社内ネットワークへのアクセス経路になりうる危険が生じています。
[4] セキュリティ事故の高度化・大規模化
	これまでの事故と異なり、高度に効率化されたシステム上では、一瞬にして大量の顧客情報が盗まれる、ホームページのデータが破壊される、サーバがダウンした結果、すべてのシステムが利用できないといった従来では考えられない、高度で大規模な事故が発生する可能性があります。
[5] 技術的対策の限界
	セキュリティ事故に対しては、従来多くの組織がファイアウォールの構築、ウイルスソフトの導入等の技術的対策を講じてきましたが、それだけでは万全でないことが明らかになってきました。例えば、端末の誤操作等の人的要因、サーバ室が施錠できない等の物理的要因を考慮しなければ対策は不十分です。

多発するセキュリティ事故－｢事故は氷山の一角｣

　近年、顧客情報の流出や、ホームページの改ざんなど組織の情報セキュリティ事故が多発しています。情報は従来からも重要な事業資産であったはずですが、それに見合うセキュリティが保たれていなかったのが原因とされています。最近の傾向として、セキュリティ事故は、大規模かつ深刻になりつつあります。それは組織に甚大な損害を及ぼすばかりか、信用の喪失など経営そのものにも悪影響を与えます。
　また、大切なデータが職員の端末の誤操作によって消えてしまった、ウイルスの進入によって社内のデータが破壊されたといった問題もセキュリティ事故のひとつといえるでしょう。その復旧にかかる手間と時間は少なくありません。組織の情報セキュリティはいまや緊急の課題です。

▲TOPに戻る

■ 組織の経営に資する情報セキュリティマネジメントシステム

いかなる組織にとっても、情報は事業継続に必要不可欠です。情報セキュリティの確保は、組織にとっての最重要課題になりつつあります。
解決のためには、組織が一定のポリシーの下に、リスク評価を行い、管理計画を立案し、実行・監査によって継続的改善を行っていく仕組みが有効です。これを情報セキュリティマネジメントシステム（ISMS）といいます。 ISMSの実行は、情報セキュリティという観点から組織全体を見直し、情報のセキュリティ事故による事業損害を低減させ、また、その事故の可能性自体を低減することで、組織をより健全な経営へと導きます。

■ ISMS構築のメリット

ISMSの構築は、組織に以下のメリットをもたらします。

[ 1 ]  セキュリティレベルの向上による情報の適切な保護
[ 2 ]  セキュリティリスクの低減による事業損害・支出の減少
[ 3 ]  PDCAサイクル、職員の意識高揚による継続的改善
[ 4 ]  外部（取引先、一般）への組織のイメージアップ
[ 5 ]  法的要求事項への適合

[1] セキュリティレベルの向上による情報の適切な保護
	組織の重要な資産である情報を保護することが出来ます。組織の情報に対する脅威が増している現在、情報の適切な保護が必要になっています。ISMSの導入は、適切な保護を実現するきわめて有効な手段です。
[2] セキュリティリスクの低減による事業損害・支出の減少
	ISMSの導入によってセキュリティ事故が起こる確率が減少し、組織のセキュリティ対策費の減少を図ることが出来ます。また、万が一の場合も、その規模が縮小することで事業損害を最小限に食い止めることが可能になります。
[3] PDCAサイクル、従業員の意識高揚による継続的改善
	情報セキュリティへの脅威は、技術の進歩や時代とともに変化しており、必然その対策にも変化の必要性が生じます。また、情報セキュリティの維持にはすべての従業員の参加が必要であり、従業員のセキュリティに対する意識も常に高い状態に保たれている必要があります。 ISMSの導入は、PDCAサイクルに基づく継続的改善を実現し、従業員の意識向上にも寄与します。また、定期的な維持・更新審査によって、いわゆるセキュリティホールの発見や、周囲の環境の変化に即したマネジメントシステムを維持することが出来ます。
[4] 外部（取引先、一般）への組織のイメージアップ
	情報セキュリティの確保が関心事になってくると、自組織の情報を保有している組織に対しての情報セキュリティ体制への関心は、増してくると思われます。情報セキュリティに対する取組みを第三者の目から審査することで、取引先に対しては、自組織の情報の取り扱いに対する信頼感を与えます。一般のユーザに対しても、｢情報セキュリティへの取組み｣が評価され、組織のイメージアップにつながります。
[5] 法的要求事項への適合
	ISMSは、関連する法令への準拠も謳っています。そのため情報システムごとの関連法規が明確になり、ISMSの導入を通じて効率的に体制作りを行うことが出来ます。

▲TOPに戻る

■ ISMSの仕組み

ISMSは、他のマネジメントシステムと同じくPDCAサイクルが基本になっています。
そのため、すでに他のマネジメントシステムを構築されている組織では、既存のマネジメントシステムに組み合わせることが可能です。
ISMSにおいては、それぞれの段階で次のような要求事項が規定されています。おのおのの要求事項を満たしていくことにより、システムの継続的改善が達成されます。

▲TOPに戻る

■ 情報セキュリティマネジメントシステム構築のフロー

情報セキュリティマネジメントシステムは、下記のフロー図で表すことができます。

Step 1	適用範囲を定義する。 ISMSの適用範囲を決定します。事業、組織、所在地、資産及び技術のそれぞれの特徴の見地から、適用範囲及び境界を定義します。
▼
Step 2	ISMSの基本方針を策定する。情報セキュリティの管理に対する組織の活動の方向性の全般的認識及び原則を明示した「ISMS基本方針」を策定します。策定に当たっては、事業上の要求事項及び法的又は規制要求事項、並びに契約上のセキュリティ義務を考慮する必要があります。
▼
Step 3	リスクアセスメントについて取組方法を策定する。組織の状況に見合うリスクアセスメントの方法、及び受容可能なリスク水準を特定します。このリスクアセスメントの方法は、比較可能で再現可能な結果を出すものであることを確実にしなければなりません。
▼
Step 4	リスクを識別する。適用範囲内の資産及びその管理責任者を特定します。そして、それらに対する脅威及び脆弱性を明らかにし、機密性、完全性、可用性が脅かされるとその資産にどんな影響が及ぶかを明確にする必要があります。なお、ここで言う管理責任者とは、実際にその資産に財産権があるという意味ではありません。例えば、人事上のセキュリティを維持するためには、人事部が管理している情報も当該部門で利用する必要があります。また、サーバを介して情報をやり取りしていれば、情報システム部のサーバの可用性を当該部門として確保する必要があります。
▼
Step 5	リスクを分析し、評価する。適用範囲内のリスクアセスメントを行い、リスク受容基準を根拠に、そのリスクに対して対応が必要か不要かの判断を行います。
▼
Step 6	リスク対応についての選択肢を明確にし、評価する。洗い出されたリスクに対し、適切な管理策を採用する、リスクを受容する、リスクを回避する(例：事業からの撤退等)、リスクを移転する（例：保険に入る）等の対応を選択します。
▼
Step 7	リスク対応に関する管理目的及び管理策を選択する。選択肢に見合う形での、組織のISMSに適用される管理目的及び管理策を選択します。まず、附属書Aに掲げられた133の管理策から選択します。必要であれば追加の管理策を選択します。
▼
Step 8	残留リスクに対する経営陣の承認を得る。リスク対応をおこなっても残っているリスクがあることに対して、経営陣の承認を得ます。
▼
Step 9	当該ISMSを導入及び運用について経営陣の許可を得る。経営陣の許可を得て、組織の対応としてISMSを運用します。
▼
Step 10	適用宣言書を作成する。管理策の選択の採否及びそれぞれの選択の理由を適用宣言書に記載します。適用宣言書には現在実施している管理目的及び管理策も併せて記述します。