ISO/IEC 27001は、国際的に認められた情報セキュリティマネジメントシステム(Information Security Management System、ISMS)の標準です。
組織や企業が体系的な情報セキュリティ管理を構築し、リスクを低減し、信頼性を高めるのに役立ちます。
ISO/IEC 27001の認証を取得することは、組織にとって重要なマイルストーンであり、国際標準に準拠した情報セキュリティ管理を行っている証明になります。
認証申請前に知っておきたい組織:
- ISO:標準を策定(例:ISO/IEC 27001)。
- IAF(国際認定フォーラム):グローバルな認証ルールを策定し、各国認証制度の相互承認を保証。
- AB(認定機関):各国や地域の認定機関で、CB(認証機関)の認定を行う。
例:
台湾:TAF(台湾認証基金会)。
米国:ANAB(ANSI National Accreditation Board)。
日本:TAD(The Japan Accreditation Board for Conformity Assessment)。
ドイツ:DAkkS(Deutsche Akkreditierungsstelle)。
英国:UKAS(United Kingdom Accreditation Service)。
フランス:COFRAC(Comité Français d’Accréditation)。 - CB(認証機関):ABに認定された後、ISO 27001監査を行い証明書を発行。
例:SGS、A‑LIGN、BSI、TÜV、JQA。
ポイント:ABはCBの信頼性と国際的認証の妥当性を保証しますが、自身で証明書を発行するわけではありません。
簡単にいうと:
ISOが標準を策定 → IAFが認証ルールを策定 → ABがCBを認定 → CBが監査 → 組織がISO 27001証明書を取得
ISO 27001の条文と実務の関係:
ISO/IEC 27001認証を取得するには、標準条文・手順書・実務の関係を理解しておくとスムーズです:
- 管理システム要求(Clauses 4–10)
- Clause 4 組織の状況:範囲、利害関係者、ISMSの範囲を定義。
- Clause 5 リーダーシップ:経営陣のコミットメント、情報セキュリティ方針。
- Clause 6 計画:リスク評価、リスク対応計画。
- Clause 7 支援:資源、スキル、文書化情報。
- Clause 8 運用:リスク対応策の実施。
- Clause 9 パフォーマンス評価:監視、内部監査、マネジメントレビュー。
- Clause 10 改善:継続的改善、是正処置。
- 付録A(Annex A)コントロール
- 共 93 項控制措施(2022 版),涵蓋:
- 2022年版では93の管理策があり、次の分野をカバー:
- 情報セキュリティ方針、人材セキュリティ、資産管理、アクセス制御、暗号化、サプライチェーン、インシデント管理、事業継続、法令遵守など。
- 共 93 項控制措施(2022 版),涵蓋:
必要な文書概要:
- ISMS範囲文書。
- 情報セキュリティ方針。
- リスク評価報告書。
- リスク対応計画。
- 適用宣言書(SoA):適用・除外の管理策一覧。
- 手順書:アクセス制御、バックアップ、インシデント管理など。
- 記録:内部監査報告書、マネジメントレビュー議事録、各手順の実施記録。
実務の考え方:
- リスク管理:資産、脅威、脆弱性を特定し、コントロール策を策定。
- 技術的コントロール:ファイアウォール、暗号化、アクセス権限。
- 組織的コントロール:社員教育、役割と責任。
- 継続的改善:定期監査と是正処置。
簡単にいうと:
ISO/IEC 27001の条文 → 組織が手順書を作成 → 手順書に沿って業務を実施・記録。
(言う・書く・行うの一貫性が重要)
「四階文書」は必須?
ISO/IEC 27001では、政策・手順・作業指示書・記録という「四階文書」の構成を明確に要求していません。
必須ではありませんが、大規模組織では管理や監査の観点から採用することが多く、
小規模企業では簡略化しても標準要求を満たせれば問題ありません。
技術と心の交差点を探求することは、時に孤独ではありますが、とても価値のある旅です。
もしこの記事が、あなたに少しでも思考の整理や気づきをもたらしたのであれば、コーヒー一杯のご支援を通じて、このような深い文章を書き続ける活動を応援していただけると嬉しいです。
[ ☕ コーヒーを一杯おごる ]
