情報セキュリティ・マネジメント・システム(ISMS:Information Security Management System)の新しい国際規格として,「ISO/IEC 27001:2005(以下,ISO/IEC 27001)」が2005年10月に発行された。
これに伴い,「BS7799-2:2002(以下,BS7799-2)」および「ISMS認証基準(Ver.2.0)(以下,ISMS認証基準)」が,ISO/IEC 27001に統一される。BS7799-2とISMS認証基準のどちらか,または両方の認証を取得している場合には,移行期間中にISO/IEC 27001へ移行する必要がある。
そこで本稿では,ISO/IEC 27001の登録審査を受けた経験に基づき,審査の上で重視されていると感じた変更点を中心に,ISO/IEC 27001の特徴や,ISMSの確立と維持に重要な項目を解説する。認証の取得を計画している組織(企業)は,本稿を参考にしていただきたい。
情報セキュリティ・マネジメントへの経営者のかかわり
ISO/IEC 27001での注目すべき変更点としては,以下の項目が挙げられる。
- 情報セキュリティ・マネジメントへの経営者のかかわり
- リスク・アセスメントへの取り組み
- 管理策の有効性の検証
- 内部監査の位置付け
これらについて,順に解説していく。
従来のBS7799-2およびISMS認証基準においても,経営者の関与が重要視されてきた。ISO/IEC 27001ではその点がより強調され,経営者・上位マネジメントとの関係を意識したマネジメント・システムの構築が求められている。
特に「ISMS基本方針」は,経営者(事業目的)を反映したものでなければならないとしている。情報セキュリティの確保だけに注目してISMS基本方針を定めている組織が見受けられるが,経営目的(事業目的)を反映させたものでなければ,ISMS導入の意義は半減する。
例えば,経営の目標が売上高や利益率の向上にあるのなら,ISMSの導入目的は,経営目標に対するリスクや脅威の低減となるはずである。ISMS基本方針は,情報セキュリティの観点から,経営目標に対するリスクをどのようにマネジメントするのかを定義した文書にする必要がある(図1)。
また,ISO/IEC 27001では,ISMS基本方針は「情報セキュリティ目標(方針)」を含まなければならないとされている。実際の審査においても,このことは繰り返し確認された。
![]() 図1 情報セキュリティ・マネジメント・システムの確立 |
リスク・アセスメントへの取り組み
リスク・アセスメントは,ISMSの確立と維持において最も重要な要素のひとつである。リスク・アセスメントの結果に基づいて,それぞれの情報資産に必要な管理策を決定するためだ。
規格の要求事項に着目するあまり,管理策中心のマネジメント・システムを確立するケースが見られるが,ISO/IEC 27001では,導入した管理策の有効性を証明する必要がある。そのためには,リスク・アセスメントの方法や評価の基準が明確でなければならない。ISO/IEC 27001では,リスク・アセスメントの取り組みを次のように定義している。
- 別の時期に実施した結果と比較可能で,なおかつ再現可能であるリスク・アセスメント手法を採用すること
- 受容可能なリスク水準を定義すること
- リスク・アセスメントの結果を定期的に見直すこと
リスクアセスメントの結果が比較可能ということは,定期的な見直しにおいて結果が安定している必要があることを意味している(図2)。受容可能なリスク水準の変化や残留リスクの見直しに伴って新たに管理策を導入した場合に,その効果を測定できることが要求されている。
![]() 図2 リスク・アセスメントの結果が安定しないケース |
再現可能であるということは,リスク・アセスメントの結果によって導入された管理策は,その導入理由が明確であり,信頼性があることが要求される。適用宣言書[注1]は,これらの結果によって導入された管理策に基づいて作成されていることが重要であり,審査においても重要視される。
注1)適用宣言書とは,リスク対応に関して組織が選択した管理策と目的,および選択または除外理由を記述した文書のこと。
管理策の有効性の検証
ISO/IEC 27001では,導入した管理策の有効性を測定する方法を規定し,「実際に,管理策がどの程度有効であるか」「リスク対応の目標を達成したか」を検証しなければならない。この検証によって,管理策からさかのぼって,リスク・アセスメントやリスク対応プロセスの有効性を実証できるようにする(図3)。重要なのは,「ISMS基本方針や情報セキュリティ目標との関連を証明できるようにすること」「管理策が役に立っていることを確認できるようにすること」である。
![]() 図3 有効性の検証 |