ISO27001/ISMSとは 4/4
ISMS認証取得への取り組み
ISMS認証基準であるISO/IEC2700:2005/JISQ27001:2006には、冒頭に「このISMSは、情報資産を保護し、また、利害関係者に信頼を与える、十分で、かつ、均整のとれたセキュリティ管理策の選択を確実にするために設計する。」とあります。
ISMSの本質であろうと思います。特に、”利害関係者への信頼を与える”という部分は、重要なポイントです。
また、ISMSとは、事業者の情報セキュリティに対するマネジメント(管理)レベルが一定の水準にあることを問うものであって、情報セキュリティ対策の完璧さやその水準を問うものではないことも認識する必要があります。
すなわち、「このレベルのセキュリティ対策を選択し、実施していることについて、お客様やお取引先等(利害関係者)が納得してくれるかな?」という視点で構築することです。
ISMS構築の流れは、(財)日本情報処理開発協会の発行する、「ISMS適合性評価制度の概要(ISO/IEC27001:2005対応版)」や「ISMSユーザーズガイド-JIS Q 27001:2006(ISO/IEC 27001:2005)対応」に、示されているものです。規格改定が行われましたが、JISQ27001:2014でも基本的には変わりませんので参考にされると良いでしょう。
ISMS構築の流れ
(財)日本情報処理開発協会「ISMS適合性評価制度の概要 ISO/IEC27001:2005対応版」参考
こうしたマネジメントシステムの構築は、とかく、規定や手順書といった文書類の作成から着手してしまいがちですが、ISMSは、”文書ありき”では無く、リスクアセスメント(リスク分析)有りきです。リスク分析の結果に基づいてリスク対応を講じるという、まさに、リスクマネジメントシステムであることを示しています。
文書類は、この流れの中で作成されます。
実際に、ご支援させていただく中で、この流れは、実に適切であると思っています。
そして、具体的にISMSを構築するためには、規格要求事項を良く理解することが大切です。少なくとも、以下の資料は入手して、目を通していただきたいものです。
個別の作業の要点は、ページ内に納まりませんので、別メニューの中で説明させていただくこととします。
コンサルタントの支援無しで、自社でISMSを構築される例があります。
市販の参考本を熟読して、しっかり勉強され取り組まれることでそれも可能です。しかし、経験から言って、相当に苦労されるものと思います。第一段階審査(文書審査)にて、何十もの不適合を受け、短時間で是正しなければならないとして、援助を求められることもあります。
自社で構築されることは勉強になって良いとも思いますが、少なくとも、審査を受けられる前に、一度ご専門家の目で確認をしてもらうことをお勧めします。
|