2021年03月09日

4.1 組織及びその状況の理解【JIS Q 27001】

ishihama
石濱 雄基 記事一覧
Posted in ISMS/ISO27001, 規格本文, 規格解説,
このエントリーをはてなブックマークに追加 LINEで送る

このシリーズでは、ISMSの土台となる規格JIS Q 27001をじっくりとご紹介していこうと思っています。
これまでに弊社ブログ内でもざっくりとした規格解説などはあげてきたのですが、正直規格は細かく紹介しようと思えばいくらでも深めることができます。なので、一度じっくり見てみようというものです。

今回は初回、【4.1 組織及びその状況の理解】をじっくり読み砕いていきましょう。

概要

簡単にまとめると「組織を取り巻く外部の課題・内部の課題を整理しましょう」です。

自社が抱える課題をはっきりさせることで、何のためにISMSに取り組むのかということを明確化することにつながります。また、その課題から組織のどの部分に対してISMSを適用すべきなのかという判断基準にすることもできます。

反対に、もし課題が曖昧な場合、何に対応するための仕組みを構築するのかを明確にすることもできないのではないでしょうか。

その上で、課題の整理には以下の2つの条件を満たしたものである必要があります。

  • 組織の目的に関連していること
  • ISMSの意図した成果を達成する上で影響を与えるもの

上記を見るとシンプルな気もしますし、具体的には何が言いたいのと思われる方もいるのではないでしょうか。

次の項では、もう少し細かくそれぞれの言葉を見ていきたいと思います。

外部の課題・内部の課題とは?

外部の課題

外部の課題として整理すべきことは、「社会環境や他社など外部の変動によって自組織に影響を与えうる課題」です。

一般的に考えられることとしては以下のような課題があるのではないでしょうか。

  • 組織に関連する法令やガイドラインへの対応
  • サイバー攻撃への対応

また、外部の課題については内部の課題以上に、組織の業務内容や規模によって大きく異なる可能性があります。
例としては以下のようなものが考えられます。

  • EUでの事業に伴うGDPRへの対応
  • GoToキャンペーンなどの施策に伴う対応
  • コロナ禍による提供サービス利用者急増への対応

外部の課題については社会状況に拠るところが大きいため、より動向を注視しておく必要性があります。

内部の課題

ここで整理すべき課題は、その名の通り「組織内部由来の課題」ということになります。
例えば、ISMS構築で情報セキュリティの仕組みを整備したい組織の場合以下のような課題が考えられるでしょう。

  • 情報セキュリティに関する体制やルールの整備
  • 従業者のセキュリティリテラシーの向上

また、組織の規模や業務によっては以下のような課題も考えられます。

  • 提供するサービスの安定稼働
  • 社内システムの安定稼働
  • ペーパレス化の推進
  • 業務の属人化からの脱却、業務マニュアルの整備

上記のように、組織内部由来で対応していく必要のあるセキュリティ課題やリスクを洗い出すことを意識しましょう。

課題整理の2つの条件

組織の目的に関連

これはつまり、「事業内容や組織の方針と整合性のとれたもの」であるということです。

例えば、もともとリモートワークの仕組みが整備されていた会社にとっては、「コロナ禍によるリモートワーク制度の整備」は課題ではないでしょうし、別にペーパレス化を推進していない会社にとって、「ペーパレス化への対応」を課題にする必要はありません。
また、特にEUに事業展開する予定のない企業にとってGDPRへの対応を課題として挙げる必要もないでしょう。

上記のように、一般的に考えるものをとりあえず当てはめるのではなく、組織の目的や考え方と整合性のとれた課題を整理することが大切です。

ISMSの意図した成果を達成する上で影響を与えるもの

実はISMSの意図した成果は規格に明記されています。
それは、「情報の機密性・完全性・可用性を維持すること」「信頼を利害関係者に与えること」です。

つまり、この課題があることによって上記の成果達成に影響があるものを洗い出すことになります。

例えば、組織のセキュリティ体制やルール化がされていない場合、情報漏えいをはじめとした様々なセキュリティリスク発生の可能性や外部から信頼を得られないことが考えられます。

基本的にはあまり難しく考えるのではなく、ISMSに取り組んでいく上で、自分たちが行っていくべきこと、対応していきたいことなどを課題として考えると良いでしょう。

まとめ

今回は、【4.1 組織及びその状況の理解】について解説してきました。
組織を取り巻く課題を把握することは、自分たちがISMSにおいて何をすべきか考えるための土台になるとともに、組織が置かれている現状を改めて見直す機会にもなります。

ここまで、情報セキュリティに関連するような話を中心にしてきましたが、あまりそれにとらわれすぎず、組織全体を取り巻く様々な課題を洗い出してみても良いかもしれません。

参考

このエントリーをはてなブックマークに追加 LINEで送る

2021年3月9日

4.1 組織及びその状況の理解【JIS Q 27001】

Posted in ISMS/ISO27001, 規格本文, 規格解説

このシリーズでは、ISMSの土台となる規格JIS Q 27001をじっくりとご紹介していこうと思っています。
これまでに弊社ブログ内でもざっくりとした規格解説などはあげてきたのですが、正直規格は細かく紹介しようと思えばいくらでも深めることができます。なので、一度じっくり見てみようというものです。

今回は初回、【4.1 組織及びその状況の理解】をじっくり読み砕いていきましょう。

概要

簡単にまとめると「組織を取り巻く外部の課題・内部の課題を整理しましょう」です。

自社が抱える課題をはっきりさせることで、何のためにISMSに取り組むのかということを明確化することにつながります。また、その課題から組織のどの部分に対してISMSを適用すべきなのかという判断基準にすることもできます。

反対に、もし課題が曖昧な場合、何に対応するための仕組みを構築するのかを明確にすることもできないのではないでしょうか。

その上で、課題の整理には以下の2つの条件を満たしたものである必要があります。

  • 組織の目的に関連していること
  • ISMSの意図した成果を達成する上で影響を与えるもの

上記を見るとシンプルな気もしますし、具体的には何が言いたいのと思われる方もいるのではないでしょうか。

次の項では、もう少し細かくそれぞれの言葉を見ていきたいと思います。

外部の課題・内部の課題とは?

外部の課題

外部の課題として整理すべきことは、「社会環境や他社など外部の変動によって自組織に影響を与えうる課題」です。

一般的に考えられることとしては以下のような課題があるのではないでしょうか。

  • 組織に関連する法令やガイドラインへの対応
  • サイバー攻撃への対応

また、外部の課題については内部の課題以上に、組織の業務内容や規模によって大きく異なる可能性があります。
例としては以下のようなものが考えられます。

  • EUでの事業に伴うGDPRへの対応
  • GoToキャンペーンなどの施策に伴う対応
  • コロナ禍による提供サービス利用者急増への対応

外部の課題については社会状況に拠るところが大きいため、より動向を注視しておく必要性があります。

内部の課題

ここで整理すべき課題は、その名の通り「組織内部由来の課題」ということになります。
例えば、ISMS構築で情報セキュリティの仕組みを整備したい組織の場合以下のような課題が考えられるでしょう。

  • 情報セキュリティに関する体制やルールの整備
  • 従業者のセキュリティリテラシーの向上

また、組織の規模や業務によっては以下のような課題も考えられます。

  • 提供するサービスの安定稼働
  • 社内システムの安定稼働
  • ペーパレス化の推進
  • 業務の属人化からの脱却、業務マニュアルの整備

上記のように、組織内部由来で対応していく必要のあるセキュリティ課題やリスクを洗い出すことを意識しましょう。

課題整理の2つの条件

組織の目的に関連

これはつまり、「事業内容や組織の方針と整合性のとれたもの」であるということです。

例えば、もともとリモートワークの仕組みが整備されていた会社にとっては、「コロナ禍によるリモートワーク制度の整備」は課題ではないでしょうし、別にペーパレス化を推進していない会社にとって、「ペーパレス化への対応」を課題にする必要はありません。
また、特にEUに事業展開する予定のない企業にとってGDPRへの対応を課題として挙げる必要もないでしょう。

上記のように、一般的に考えるものをとりあえず当てはめるのではなく、組織の目的や考え方と整合性のとれた課題を整理することが大切です。

ISMSの意図した成果を達成する上で影響を与えるもの

実はISMSの意図した成果は規格に明記されています。
それは、「情報の機密性・完全性・可用性を維持すること」「信頼を利害関係者に与えること」です。

つまり、この課題があることによって上記の成果達成に影響があるものを洗い出すことになります。

例えば、組織のセキュリティ体制やルール化がされていない場合、情報漏えいをはじめとした様々なセキュリティリスク発生の可能性や外部から信頼を得られないことが考えられます。

基本的にはあまり難しく考えるのではなく、ISMSに取り組んでいく上で、自分たちが行っていくべきこと、対応していきたいことなどを課題として考えると良いでしょう。

まとめ

今回は、【4.1 組織及びその状況の理解】について解説してきました。
組織を取り巻く課題を把握することは、自分たちがISMSにおいて何をすべきか考えるための土台になるとともに、組織が置かれている現状を改めて見直す機会にもなります。

ここまで、情報セキュリティに関連するような話を中心にしてきましたが、あまりそれにとらわれすぎず、組織全体を取り巻く様々な課題を洗い出してみても良いかもしれません。

参考

Author: 石濱 雄基
  • はてなブックマークに追加
  • ツイートする
  • facebookでシェアする
  • LINEでシェアする