ISO27001 認証を取得する前に学ぶべき 5 つの教訓 - ISO ハイレベル フレームワークを通じて ISO27001 のコア価値を理解する

ISO27001 情報セキュリティも組織にとっての資産と見なされます。無形ではありますが、組織の運営に影響を及ぼす可能性のある他の貴重な資産と同様に、適切に保護する必要があります。これは、情報が次のようなさまざまな形式で存在する可能性があるためです。

• 情報: データベース、データ ファイル、契約、合意など。
• ソフトウェア資産: アプリケーション ソフトウェア、システム、開発ツール、ライブラリなどをカバーします。
• ハードウェア資産: コンピュータ機器、通信機器、リムーバブルメディアなど。
• サービス: コンピューター、通信サービス、一般的な共有リソースなど。
• 人材: 専門的な資格、スキル、経験を持つ人員が含まれます。
• 無形資産：のれんやイメージなど。

したがって、これらの資産関連のセキュリティを中心に情報セキュリティ管理システムを確立し、効果的に計画、運用、主導、および制御する必要があります。
簡単に言えば、ISO27001 認証の情報セキュリティ管理の目的は、主に次の 3 つの重要な情報の側面を保護することです。

• 機密性: 情報漏洩を防止します。
• 整合性: 情報の改ざんを防止します。
• 可用性: 必要なときに情報が利用可能であることを保証します。

これらの原則は、いわゆる CIA 三位一体を構成し、情報セキュリティ管理において重要かつ中心的な役割を果たします。同時に、情報セキュリティは、特に公的機関においては、関連する法律や規制を遵守する必要もあります。

これらの目標を達成するために、組織は ISO27001 情報セキュリティ管理システムを確立する必要があります。このシステムは、確立、実装、運用、監視、レビュー、保守から継続的な改善までの一連のステップをカバーします。目標は、組織がさまざまな情報セキュリティ リスクに適応できるようにすると同時に、組織全体のガバナンス作業の基盤を提供することです。

ISO27001:2013 の第 4 章では組織の運用環境について説明されており、そこに含まれる「内部および外部の問題」についてはさらに議論する価値があります。

1. 内部および外部の問題の特定と分析:
   内部の問題は組織内の人や物事を指し、外部の問題は組織外の人や物事によって議論される必要があるニーズ、期待、または問題を指します。最も単純な例としては、株主が利益を上げたい、従業員が学びたい、などが挙げられます。
2. 内部および外部の問題の処理と対応:
   内部および外部の問題をリスト化し、その影響とリスク レベルに基づいて決定を下す必要があります。これらの問題に対処することは、ISO 27001 の要件の 1 つです。特にリスクの高い問題については、情報セキュリティ管理システムで対応計画を検討し、実装する必要があります。内部および外部の問題は、組織が運営される環境を反映します。これらを理解することによってのみ、企業の運営に適した戦略的な方針を策定することができます。
   
3. リスク管理のレビューと処理:
   内部の問題と外部の問題をフィルタリングした後、一部の問題はリスク管理における脅威になる可能性があります。このような状況では、これらのトピックを定期的に見直し、検討する必要があります。
   同時に、法律や規制の明確かつ具体的な要件を含め、利害関係者とそのニーズのリストを含む文書を作成し、情報セキュリティ管理システムに実装する必要があります。
4. 情報セキュリティ管理システムの範囲を決定します。
   内部および外部の問題、利害関係者の要件、製品およびサービスを使用して、情報セキュリティ管理システムの範囲を決定します。
5. リスク分析とシステム文書の確立:
   内部および外部の問題を分析してリスクを特定するためのリスク分析フォームを作成します。 4階層（または3階層）のシステム文書を作成し、実行フォームの記録を保持します。
6. 情報セキュリティ管理方針の制定：
   最後に、情報セキュリティ管理ポリシーを確立する必要があります。このポリシーは、ISMS関連のルールの制定、関連する管理プロセス、リスク評価の運用、情報セキュリティ目標の設定、リスク対応計画で選択された管理策の実施、監査およびマネジメントレビューの仕様を含むトップレベルのガイドラインのようなものです。