これからISMSを勉強しようと思っている人を対象に、ISMS初心者が注意しなければいけない点を紹介します。

初めてISMSについて調べたときに、「ISMS」以外に「ISO/IEC 27001」や「ISO/IEC 27002」、「JIS Q 27001」など、多くの単語がでてきて、結局ISMSって何?と混乱する方も多いと思います。第三者認証ということは知っていても、実際にどのような取り組みをしなければいけないのかなど、ISMS初心者にとっては少しハードルが高いように思えます。

今回は、ISMS初心者が、ISMSを間違って理解してしまうようなポイントを説明していきたいと思います。

ISMSとは?

ISMSを一言で表すと「組織の情報セキュリティを良くするための仕組み」です。情報セキュリティとは情報の「機密性(漏れない)」「完全性(間違っていない)」「可用性(いつでも使うことができる)」という3つの性質を維持することをいいます。

ここで間違いやすい点が、ISMSは仕組みなので、仕組みを作ることができたら終わりだと思ってしまうことです。ISMSとは、PDCAサイクルを回すことを前提とした仕組みです。作って終わりではなく、実際に運用して、評価し、次年度の取り組みに繋げていかなくてはいけません。

つまりISMSとは「継続的に組織の情報セキュリティを良くするための仕組み」と表せます。

「ISMSを取得する」は間違い?

「ISMSを取得する」と良く耳にすることがあります。このような言い方だと、ISMSは認証の名前のように思えます。実際、業界内で意味は通るので問題はないのですが、厳密には違います。

上述したとおり、ISMSとは仕組み自体を指します。組織がISMSを構築・運用して、第三者(ISMS-ACから認定を受けている審査機関)によって適切であると判断された場合に与えられるお墨付き、つまり認証は「ISMS認証」といいます。つまり「ISMS認証を取得する」が正確な言い方です。

規格の理解に関して

上述した第三者による判断に用いられる基準の1つが、国際規格であるISO/IEC 27001に準拠しているかどうかです。ISO/IEC 27001には、ISMSに組み込まなければいけない要素が書いています。この規格にそってISMSが作られているか、作ったルールに沿って正しく運用されているかをチェックします。

規格の内容は、どの組織でも取り組むことができるようなものなので、そこまでハードルは高くありません。しかし内容を理解する際に少し注意が必要です。

ISO/IEC 27001は国際標準機構が発行した文書のため英語で書かれています。それを日本規格協会が日本語訳したものがJIS Q 27001です。

規格を実際に読んでみると、少し理解が難しいような和訳がされている箇所も見受けられます。規格に書かれている内容を正確に読み取らなければ、せっかく作ったISMSが規格に沿っていないという可能性もあります。特に、自社のみでISMS認証を取得しようと考えている組織にとっては、規格の理解には注意を払う必要があります。

ルール構築時の注意点

具体的なルールを作るときに検討しなければいけないのが管理策です。管理策とは、情報セキュリティを維持するための方法です。全部で114個存在し、それらのベストプラクティスが書かれているものがISO/IEC 27002です。

ISMS認証取得を検討している組織にとって、管理策の検討が1つの大きなハードルかと思います。「114項目に対して具体的なルールを作る必要があるのか…。大変だな。」と思われる方もいるかと思いますが、実際はそうではありません。

ISMSでルールを作るときに意識しなければいけないのは、「実際に守ることができるルールを作る」です。すべての管理策が必要な組織もありますが、すべての組織がすべての管理策に従っておけば完璧なISMSができるというのは間違いです。自分たちにとって必要ではないルールを作ってしまうことが原因で、逆に、情報セキュリティが損なわれる場合もあります。

ISMSが意味のあるものになるように、自分たちの組織にあったルールづくりが非常に重要です。

まとめ

今回はISMS初心者が注意すべき点をいくつか紹介しました。

ISMS初心者にとってのISMSとは「わかるようでわからない」ものです。それは「わかったつもり」のまま、間違ったISMSを構築・運用してしまう危険性があります。

ISMSという仕組みをつくること自体のハードルは決して高くはありませんが、組織にとって意味のあるISMSをつくるためには正しいISMSの理解が必要不可欠です。

ISMS初心者が注意すべきこと

これからISMSを勉強しようと思っている人を対象に、ISMS初心者が注意しなければいけない点を紹介します。

初めてISMSについて調べたときに、「ISMS」以外に「ISO/IEC 27001」や「ISO/IEC 27002」、「JIS Q 27001」など、多くの単語がでてきて、結局ISMSって何?と混乱する方も多いと思います。第三者認証ということは知っていても、実際にどのような取り組みをしなければいけないのかなど、ISMS初心者にとっては少しハードルが高いように思えます。

今回は、ISMS初心者が、ISMSを間違って理解してしまうようなポイントを説明していきたいと思います。

ISMSとは?

ISMSを一言で表すと「組織の情報セキュリティを良くするための仕組み」です。情報セキュリティとは情報の「機密性(漏れない)」「完全性(間違っていない)」「可用性(いつでも使うことができる)」という3つの性質を維持することをいいます。

ここで間違いやすい点が、ISMSは仕組みなので、仕組みを作ることができたら終わりだと思ってしまうことです。ISMSとは、PDCAサイクルを回すことを前提とした仕組みです。作って終わりではなく、実際に運用して、評価し、次年度の取り組みに繋げていかなくてはいけません。

つまりISMSとは「継続的に組織の情報セキュリティを良くするための仕組み」と表せます。

「ISMSを取得する」は間違い?

「ISMSを取得する」と良く耳にすることがあります。このような言い方だと、ISMSは認証の名前のように思えます。実際、業界内で意味は通るので問題はないのですが、厳密には違います。

上述したとおり、ISMSとは仕組み自体を指します。組織がISMSを構築・運用して、第三者(ISMS-ACから認定を受けている審査機関)によって適切であると判断された場合に与えられるお墨付き、つまり認証は「ISMS認証」といいます。つまり「ISMS認証を取得する」が正確な言い方です。

規格の理解に関して

上述した第三者による判断に用いられる基準の1つが、国際規格であるISO/IEC 27001に準拠しているかどうかです。ISO/IEC 27001には、ISMSに組み込まなければいけない要素が書いています。この規格にそってISMSが作られているか、作ったルールに沿って正しく運用されているかをチェックします。

規格の内容は、どの組織でも取り組むことができるようなものなので、そこまでハードルは高くありません。しかし内容を理解する際に少し注意が必要です。

ISO/IEC 27001は国際標準機構が発行した文書のため英語で書かれています。それを日本規格協会が日本語訳したものがJIS Q 27001です。

規格を実際に読んでみると、少し理解が難しいような和訳がされている箇所も見受けられます。規格に書かれている内容を正確に読み取らなければ、せっかく作ったISMSが規格に沿っていないという可能性もあります。特に、自社のみでISMS認証を取得しようと考えている組織にとっては、規格の理解には注意を払う必要があります。

ルール構築時の注意点

具体的なルールを作るときに検討しなければいけないのが管理策です。管理策とは、情報セキュリティを維持するための方法です。全部で114個存在し、それらのベストプラクティスが書かれているものがISO/IEC 27002です。

ISMS認証取得を検討している組織にとって、管理策の検討が1つの大きなハードルかと思います。「114項目に対して具体的なルールを作る必要があるのか…。大変だな。」と思われる方もいるかと思いますが、実際はそうではありません。

ISMSでルールを作るときに意識しなければいけないのは、「実際に守ることができるルールを作る」です。すべての管理策が必要な組織もありますが、すべての組織がすべての管理策に従っておけば完璧なISMSができるというのは間違いです。自分たちにとって必要ではないルールを作ってしまうことが原因で、逆に、情報セキュリティが損なわれる場合もあります。

ISMSが意味のあるものになるように、自分たちの組織にあったルールづくりが非常に重要です。

まとめ

今回はISMS初心者が注意すべき点をいくつか紹介しました。

ISMS初心者にとってのISMSとは「わかるようでわからない」ものです。それは「わかったつもり」のまま、間違ったISMSを構築・運用してしまう危険性があります。

ISMSという仕組みをつくること自体のハードルは決して高くはありませんが、組織にとって意味のあるISMSをつくるためには正しいISMSの理解が必要不可欠です。

Author: 柴田 大輔
  • はてなブックマークに追加
  • ツイートする
  • facebookでシェアする
  • LINEでシェアする