審査員が明かす、ISMSを定着させる必須ポイント：これがなければ始まらない？ ISO27001取得への道（2/3 ページ）

[富永康信（ロビンソン），ITmedia]

ポイント4：情報資産の洗い出し／リスクアセスメント／リスク対応計画

　ISMSで最も重要な部分は、情報資産の洗い出し、リスクアセスメント、そしてリスク対応計画と言われる。

（1）情報資産のカテゴリを定義する

　通常行われる情報資産の洗い出しとは、各種データを定義分けし、リストアップすること。その際、自分たちが日々実施している実際の業務プロセスに照らし合わせてどんな情報資産が登場し、そこにどんなリスクが存在するのかを調査することで、抜けや漏れを防ぐことができる。これには、内部統制で作られた業務フローが再活用できる。

「組織が取り組んできた仕組みを、ISMSの観点で考えることが重要」とアドバイスするテュフズードジャパンの松下勉ISO27001（ISMS）主任審査員

（2）リスクアセスメントの脅威と脆弱性の組み合わせを考慮する

　定義した情報資産のカテゴリのうち、どれにも共通する脅威や脆弱性もあれば、共通とならないものもある。まずは、組織自らが時間をかけて綿密にリスクアセスメントを進めることが肝要だ。大事なのは、比較可能かつ再現可能な結果を生み出せること。誰がやっても同じ結果が出ることが求められる。

ISMS管理策の導入および運用の【実行（Do）】

ポイント1：現場を巻き込む

　計画段階はもちろん、運用の段階でも主役は現場の人々だ。管理策や社内ルールができればその内容を業務に落とし込む必要がある。ただし、現状の業務に覆いかぶさるような施策とならないよう、現在の業務にうまく溶け込ませていくことがコツだ。

　日々の反復性を持った形にすれば、無意識かつ忘れずにできてしまうといった工夫が大事だろう。

ポイント2：上司がやらざるを得ない状況を作る

　権限委譲を建前に、上司が“われ関せず”を決め込むケースが少なくない。よって、部下だけに実施を義務付けることを許さない仕組みが必要だ。組織全体がルール順守の義務を負うように社内の職務定義を決めるなど、とにかく例外を作らないこと。

ポイント3：社内ルールがどう変わったかを説明する

　いよいよ運用の段階になると、社内ルールに落とし込み、誰が、何をしなければならないのかを明確にして、その内容を社員に教育することになる。特に重要なのは、情報の取り扱い方だ。日々利用するメディアやソフトウェア、ハードウェアの貸し借りの方法、持ち出しの方法などのルールが大きく変わるからである。

　そして、何かインシデントが発生した場合の対応手順や事業継続計画などに沿って、ロールプレイとシミュレーションをしておくことや、ルール違反をした場合の懲罰の存在などを各人に説明しておくことも必要だ。

監視およびレビューを行う【点検（Check）】

ポイント1：記録（ログや管理台帳など）は定期的にレビューする

　マネジメントシステムの本質は、不適合やインシデントの発生を予防すること。そのため、記録はため込むだけではなく、事が起こりそうな予兆の有無を解析するために利用するものと理解する。また記録は、社員の権限に基づく行動の正当性を証明することにも使えるため、安心して仕事ができる環境を与えることにもつながる。

ポイント2：文書も定期的にレビューする

　定期的にレビューする、バックアップを取るといっても、いつするのかも定義せず、本当に実施したのかが明確でなければ本当の運用にはならない。そのため、手順やマニュアル、業務ワークフローなどに実施期間を明記することで、やらざるを得ない状況を作る。

ポイント3：ライセンス管理を甘く見ない

　とかく見逃しなのがこのライセンス管理。販売業者が必要なライセンス数を保守管理しているケースが多いが、その場合は委託元の管理責任も問われる。利用中の正しいライセンス数やそのライセンス期間に関しては、定期の報告会で報告するように決めること。

　また、IT部門で関知していない、部門ごとに導入したソフトウェアのライセンスも管理対象になるから注意が必要だ。