ISO27001とは,企業等組織運営活動における基盤のIT(情報技術)への依存度が高まるにつれて、機密情報や個人情報の大規模あるいは広範囲な漏えい、ネットワーク犯罪等が相次いで発生しており、経営上あるいは社会的な問題として大きな影響を与えています。いまや情報セキュリティは、企業等組織の経営管理の重要課題となっています。組織にとって、「情報(Information)」は“人・物・金”と同様に重要な経営資源です。
同時に「情報」は、漏えい、破壊などのリスクを常に背負っています。様々なリスクを回避し、「情報」を有効に活用することは組織の円滑な運営に必須となっています。
ISO27001は、組織全体で「情報」を管理し、様々なリスクを低減して、「情報」を効率的に利用できるようにするための仕組みです。
ISO27001の内容
ISO27001は、情報セキュリティマネジメントシステム(ISMS=Information Security Management System)の国際標準規格であり,現在有効な規格は、2013年10月1日に発行されたものです。
ISO27001では、組織が持つ「情報」について「機密性・完全性・可用性」という3要素をバランスよく維持管理することが求められています。
まず、保有する「情報」とそのリスクの洗い出しを行います。
そして、リスク低減のためのセキュリティ対策を計画し、実施します。
次いでその効果を評価し、管理方法を見直します。
一連の活動は、「Plan(計画)、Do(実施)、Check(点検)、Act(処置)」という PDCA で実施し、継続的に情報セキュリティの実績を改善していきます。
PDCAサイクルはISO9001(品質マネジメントシステム)やISO14001(環境マネジメントシステム)といった、他のマネジメントシステムとの共通した考え方です。
■ 機密性 : 許可者以外に情報が使用または公開されないようにする
■ 完全性 : 情報の正確さを保護するために作成や編集を制限する
■ 可用性 : 必要な情報が必要なときに利用できるようにする
ISO/IEC 27001:2013 の構成
0. 序文
1. 適用範囲
2. 引用規格
3. 用語及び定義
4. 組織の状況
4.1 組織及びその状況の理解
4.2 利害関係者のニーズ及び期待の理解
4.3 情報セキュリティマネジメントシステムの適用範囲の決定
4.4 情報セキュリティマネジメントシステム
5. リーダーシップ
5.1 リーダーシップ及びコミットメント
5.2 方針
5.3 組織の役割、責任及び権限
6. 計画
6.1 リスク及び機会への取り組み
6.1.1 一般
6.1.2 情報セキュリティリスクアセスメント
6.1.3 情報セキュリティリスク対応
6.2 情報セキュリティ目的及びそれを達成するための計画
7. 支援
7.1 資源
7.2 力量
7.3 認識
7.4 コミュニケーション
7.5 文書化された情報
7.5.1 一般
7.5.2 作成及び更新
7.5.3 文書化した情報の管理
8. 運用
8.1 運用の計画及び管理
8.2 情報セキュリティリスクアセスメント
8.3 情報セキュリティリスク対応
9. パフォーマンス評価
9.1 監視、測定、分析及び評価
9.2 内部監査
9.3 マネジメントレビュー
10. 改善
10.1 不適合及び是正処置
10.2 継続的改善
附属書A(規定)管理目的及び管理策
ISO27001認証取得のメリット
情報セキュリティに関して社会的な信用確保、企業イメージの向上
顧客、取引先との信頼確立
新規顧客開拓に必要な要件
個人情報保護法等のコンプライアンス(法令順守)の徹底
組織内の「情報」に対する意識高揚、情報漏えいの未然防止
組織の「情報」管理システムの確立
官公庁の情報関連業務の入札条件となる場合に有効
プライバシーマークとの関係
プライバシーマークは、JISQ15001規格に適合して、「個人情報」について適切な保護措置を講ずる体制を整備している事業者等を認定して、その旨を示すプライバシーマークを付与し、事業活動に関してプライバシーマークの使用を認める日本の制度です。
一方、ISO27001は「個人情報」を含めた「情報資産全般」の安全のための国際規格です。
いずれも、組織全体で実施するマネジメントシステムで、リスク評価、PDCAが基本となっています。
ただし、プライバシーマークの付与は事業者単位(法人単位)でしか認められませんが、ISO27001では部門、事業所での認証取得も可能となっています。
