|
|
|
ISO27001/ISMSとは 4/4 |
ISMS認証取得への取り組み
ISMS認証基準であるISO/IEC2700:2005/JISQ27001:2006には、冒頭に「このISMSは、情報資産を保護し、また、利害関係者に信頼を与える、十分で、かつ、均整のとれたセキュリティ管理策の選択を確実にするために設計する。」とあります。
ISMSの本質であろうと思います。特に、”利害関係者への信頼を与える”という部分は、キーワードであろうと思います。
また、ISMSとは、事業者の情報セキュリティに対するマネジメント(管理)レベルが一定の水準にあることを問うものであって、情報セキュリティ対策の完璧さやその水準を問うものではないことも認識する必要があります。
すなわち、「このレベルのセキュリティ対策を選択し、実施していることについて、お客様やお取引先等(利害関係者)が納得してくれるかな?」と言う視点で構築して欲しいと思います。
ISMS構築の流れは、(財)日本情報処理開発協会の発行する、「ISMS適合性評価制度の概要(ISO/IEC27001:2005対応版)」や「ISMSユーザーズガイド-JIS Q 27001:2006(ISO/IEC 27001:2005)対応」に、示されているので参考にされると良いでしょう。
| ISMS構築の流れ |
 |
| (財)日本情報処理開発協会「ISMS適合性評価制度の概要 ISO/IEC27001:2005対応版」参考 |
こうしたマネジメントシステムの構築は、とかく、規定や手順書といった文書類の作成から着手してしまいがちですが、ISMSは、”文書ありき”では無く、リスクアセスメント(リスク分析)ありきです。リスク分析の結果に基づいてリスク対応を講じるという、まさに、リスクマネジメントシステムであることを示しています。
文書類は、この流れの中で作成されます。
実際に、ご支援させていただく中で、この流れは、実に適切であると思っています。
そして、具体的にISMSを構築するためには、規格要求事項を良く理解することが大切です。少なくとも、以下の資料は入手して、目を通していただきたいものです。
| 1 |
・「情報セキュリティマネジメントシステム-要求事項 JIS Q 27001:2006」
※一度、文末の「解説」部分まで読んでいただきたいと思います。
(財)日本規格協会発行 本体2,900円 (税込 3,045円) |
|
・「対訳ISO/IEC 27001:2005(JIS Q 27001:2006)情報」
※正規版の変わりとして購入しても良いでしょう。
ISMS要求事項は英文(ISO/IEC27001:2005)と和文(JISQ27001:2006)を対比させて記載されており、ポケット版で重宝します。
(財)日本規格協会発行 本体3,000円 (税込 3,150円) |
|
| 2 |
・「ISO/IEC 27001:2005(JIS Q 27001:2006)詳解情報」
※規格要求事項を正しく理解する上で、ISMSの推進リーダー必見です。
(財)日本規格協会発行 本体2,400円 (税込 2,520円) |
|
| 3 |
・「情報セキュリティマネジメントの実践のための規範 JIS Q 27002:2006」
※管理策を選択、実施する上で、必要不可欠です。
(財)日本規格協会発行 本体5,100円 (税込 5,355 円) |
|
| 4 |
・「ISO/IEC 17799:2005(JIS Q 27002:2006)詳解情報」
※管理策の選択、具体的管理策を実施する上で大変参考になります。
(財)日本規格協会発行 本体3,500円 (税込 3,675円) |
 |
| 5 |
・「ISMSユーザーズガイド-JIS Q 27001:2006(ISO/IEC 27001:2005)対応-」
・「ISMSユーザーズガイド-JIS Q 27001:2006(ISO/IEC 27001:2005)対応--リスクマネジメント編-」
※ISMSの本家が発行するガイドブックで一読をお勧めします。
ホームページからPDFファイルとして無料ダウンロードできます。 |
|
個別の作業の要点は、ページ内に納まりませんので、別メニューの中で説明させていただくこととします。
なお、コンサルタントの支援無しで、自社でISMSを構築される例があります。
決して不可能ではありませんが、経験から言って、相当に苦労されるものと思います。第一段階審査(文書審査)にて、何十もの不適合を受けて、殆ど一から構築し直さなければならないとして、援助を求められることもあります。
自社で構築されたとしても、少なくとも、申請を受けられる前に、一度ご専門家の目で確認をしてもらうことをお勧めします。
■その他のお勧め書籍
|
|
|
