第1回 ISMSで仕事をラクにしよう！

松下　勉
テュフズードジャパン株式会社
マネジメントサービス部
ISMS主任審査員
CISA（公認情報システム監査人）
2007/5/18

---

　ISMSで決められていること

　このISMSは、元は英国規格（British Standard）だったため、「BS7799-2:2002」といわれていました。その後2005年10月15日にISO（国際標準化機構）が制定した国際規格である「ISO／IEC 27001:2005」となりました（日本では、「JIS Q 27001:2006」として2006年5月20日に発行）。

　この規格の中で、リスクアセスメントおよびリスク対応のために用いる管理策を、「付属書A」にて、管理目的39項目、管理策133項目を明示しています。この管理策は、企業の担当者が情報セキュティ対策を身近に感じるような方法論を示したものとなります。

　ただし、この付属書Aでは概要しか述べていません。実際に企業の管理策として導入するための指針としては、「ISO／IEC 17799:2005」（日本では、「JIS Q 27002:2006」として2006年5月20日に発行）があります。付属書Aの39の管理目的を満たすため、133の管理策を導入するための手引きが記載されています。

　ただし、付属書Aの表現では「しなければならない」でしたが、ISO／IEC 17799:2005は要求事項ではないため「することが望ましい」という表現になっています。実際に付属書Aの管理策を実施するためには、ISO／IEC 17799:2005を利用することが多く、実施に欠かせないベストプラクティス（最良策）となっています。

　「付属書A」はヒントの宝庫

　これらの管理策の中身を見ると、雑誌や専門書などで解説されることが多い、例えばログの取得、バックアップの取得、ウイルス対策などは読者の方には分かりやすい内容であるかと思います。しかしPDCAサイクル運営のための要求事項は初めて目にしたという方も多いのではないでしょうか。

　この運営のための核となるプロセスとしては、リスクアセスメントおよびリスク対応があります。ここでは、情報資産を洗い出し、情報資産・脅威・脆弱性にてリスクを分析および評価し、受容できるのか、何らかの管理策を実施するかを決定し、リスク対応計画にて進ちょくを管理していきます。これらの結果は、導入される管理策の詳細さや規程の内容と関連付ける必要があります。

　このほかにも、文書管理、記録管理、経営陣のコミットメント、経営資源の運用管理、情報セキュリティに関する教育・訓練、ISMS内部監査、情報セキュリティインシデント管理、管理策の有効性の測定、ISMSの有効性のレビュー、マネジメントレビュー、是正処置、予防処置などがあります。

　これらは、最初は「取っ付きにくい」かもしれませんが、PDCAの運営における要求事項は、組織活動をよりよくするための内容を含んでいますので、情報セキュリティだけでなく、仕事上のヒントを与えてくれることにもなります。

【関連リンク】 ISO／IEC 27001とISMS認証基準との比較分析の概要 （財団法人 日本情報処理開発協会） http://www.isms.jipdec.jp/seminar/shiryou200512_2.pdf 外部委託におけるISMS適合性制度の活用方法 （財団法人 日本情報処理開発協会） http://www.isms.jipdec.jp/doc/JIP-ISMS117-10.pdf 注：上記リンクは、「付属書A」には何があるのかを確認することができるものです

　では、その具体例としてモバイルPCの運用を取り上げてみましょう。

2/3

Index
ISMSで仕事をラクにしよう！
	Page1 いまさら聞けない「ISMS」 いま、ISMSが「再度」注目される理由
	Page2 ISMSで決められていること 「付属書A」はヒントの宝庫
	Page3 モバイルPCの使用についてISMSを考えてみる ISMSを知り、有効活用しよう

ISMSで考える運用管理のヒント 連載インデックス

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）