審査員が明かす、ISMSを定着させる必須ポイントこれがなければ始まらない? ISO27001取得への道(1/3 ページ)

セキュリティマネジメントを実現する具体的な方法をイメージできるだろうか? ここでは、ISO27001を取得するための重要なポイント、PDCAサイクルに必要な要素をISO27001の審査員がアドバイスする。

» 2007年08月02日 07時00分 公開
[富永康信(ロビンソン),ITmedia]

このコンテンツは、オンライン・ムック「運用管理の過去・現在・未来」のコンテンツです。関連する記事はこちらでご覧になれます。



 前回に引き続き、今回はISMS(Information Security Management System)を確立するための重要なポイントを解説する。ISO27001の審査員のアドバイスを基に、計画(確立)、導入および運用、監視レビュー、維持および改善のサイクルに必要な要素を紹介したい。

図1 図1●ISMS確立のための3つのフェーズ(出典:日本情報処理開発協会)[クリックで拡大]

計画・実行・点検・処置を回すPDCA

 ISMSの確立は、次の3つのフェーズで実施することができる(図1)。

  • フェーズ1:ISMSの適用範囲および基本方針の確立
  • フェーズ2:リスクアセスメントに基づく管理策の選択
  • フェーズ3:リスクに対し適切に対応する計画および適用宣言書の策定

 また、その取り組みには、計画(確立)、導入および運用、監視レビュー、維持および改善のサイクルを回すPDCAアプローチが推奨されている(図2)。それによって、個々のつながりや相互作用を管理し、ISMSをより有効に作用させることができる。

図2 図2●PDCAによるプロセスアプローチ(出典:日本情報処理開発協会)[クリックで拡大]

 テュフズードジャパン マネジメントサービス部 ISO27001(ISMS)主任審査員の松下勉氏は、そのPDCAの実施に際して重要となるポイントを示している。次にそれを順に挙げよう。

リスクマネジメントと基本方針を確立する【計画(Plan)】

ポイント1:ISMSを組織に確立するための計画を立てる

 まず、計画時には、プロジェクトのスケジュールや責任者、事務局のメンバー、開始日と完了日などを決めることによって、具体的に何を、いつまでに、誰が進捗管理を実施するのかを明確にする。

 ただし、新しく組み込まれる型枠や、まったく異なった業務という取り組み方では失敗するという。今までの業務にどうやって合わせ込むかを考えることが重要となる。

ポイント2:ISMSの基本方針には組織の経営陣の意向を反映する

 とかく、コンサルタントや事務局が作成したISMSの基本方針はありがちな文章に見え、現場や取引先のモチベーションを低下させる。そのため、自分の組織がどのような危機感を持ってリスクにいかに取り組むか、あるいは取引先にどんな信頼感を与え、継続的改善への方針を示すか、経営陣自らの言葉で発することで、経営陣の推進力や情報セキュリティへの積極的な取り組みを示すことが重要だ。

ポイント3:「コンサルタントや事務局が理解すればいい」という考えはダメ

 社員のヤル気をどうやって喚起するかも重要。コンサルタントや事務局が規格を理解していればよいという考えを正し、「情報セキュリティを実際に実施するのは現場だ」ということを認識させる。社内勉強会やセミナーを開催して基本知識の底上げをすることも必要だろう。

       1|2|3 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ