ISMSを上手に使うコツ?

~ISMSの構造を理解してPDCAサイクルを効果的にまわすには~

セキュリティ・エグゼクティブ・ディレクター 中島浩光

皆様の組織においても、情報セキュリティの認証として、ISO/IEC27001(もしくは、JIS/Q27001の認証、いわゆるISMS認証を取得している組織も多いかと思います。

もちろん、私自身もいくつかのお客様に認証取得の支援をしたり、内部監査をしたりしています。しかし、ISMSを本当に上手く使えている組織は、意外に少ないなぁ、という印象だったりします。

今回は、私の経験からになりますが、ISMSを上手く使うコツ、みたいなものを書ければと考えています。

ISMSの構造

ISMS認証の規格は、2つの規格からなっており、27001と27002がそれになります。それぞれの記載内容ですが、27001はPDCAサイクル(マネジメントシステム)について、27002は具体的なセキュリティ対策について記述されています。

私自身は、これを上の階層が27001、下の階層が27002の2階層構造と捉えており、それぞれの規格の役割が違うということを理解する必要があります。

27001の構造

ISO/IEC27001に記載されている、PDCAサイクルですが、P(計画)→D(実行)→C(点検)→A(対応)→P→D→・・・・という感じで、このサイクルを繰り返すことにより、活動を継続させ、継続的改善に結びつける、というコンセプトです。

27001の規格本文にはこのPDCAそれぞれについて書かれており、具体的なセキュリティ対策について書かれているわけではなく、セキュリティ対策を検討・導入・運用していくという「管理(マネジメント)」のやりかたが書かれているわけです。

27002の構造

ISO/IEC27002に記載されているのは、個別の管理策(セキュリティ対策)になります。はっきりいうと管理策を羅列しているだけで、その並び方に意味はほぼないと思ってもよいでしょう。

また、書かれているのはセキュリティ対策にはこういう「領域」があるよ、というものであり、その「領域」のセキュリティ対策を「どのくらい厳重に」行うか、つまり、セキュリティレベルをどうするかは自分達で決めてね、というものなので、27002を参考にセキュリティ対策を決めたからといって、強固なセキュリティ対策になっている保証はありません。

27001を上手く使うには?

さて、ISMS認証を取得する場合に、よくISO/IEC27001の規格本文をちょっとだけ(必要最低限)変更した「ISMSマニュアル」という名称の規程を作成したりします。認証を取得するという観点から見ると、審査員にとっても「審査のしやすい」文書になるわけなので、その観点からみると、悪い手ではありません。

しかし、そうして作られた「ISMSマニュアル」は、ほぼ規格本文の「丸写し」に近い状態なのです。したがって、規格本文が「どのように書かれているか?」を理解しておく必要があります。

他のISO規格でもそうなのですが、特定の業界向けの規格でない場合、規格を検討・作成する人たちはその規格が、特定の組織・業界・手順・技術等に偏ることがないように注意します。そのため、規格で使用される用語や文章は非常に抽象的な用語・書き方にせざるを得ないことになり、また、規格として具体的な例示の記述も行っていない場合、結果として慣れていなければ「理解しにくい」文章になっているのです。

これを踏まえると、規格本文の丸写しした「ISMSマニュアル」は場合によっては「規格には準拠しているがよく分からない」モノになってしまうことがあり、それがISMSを上手く使えていない原因になっていると思われることがあります。これを解決するには、27001の規格をきちんと理解すること、が必要になります。

27001をどう理解するとよいのか?

さて、27001にはPDCAサイクルのことが書かれており、それが抽象的に書かれているわけです。そのため、ちゃんと理解するというか、実際の皆さんの現場において適用するためには、それを「具体的」に考え、それを表現する必要があります。あえて、「表現」と書いていますが、それは表現の方法として文字・文章だけではなく、図表なんかも積極的に使うべきだと私は思うからです。

そして、27001の規格、PDCAサイクルのことが抽象的に文章だけで書かれているわけですが、「P」「D」「C」「A」それぞれは実は「プロセス」であり、それぞれ前後関係のあるタスクが書かれています。例えば、「P」で何かを行うと、アウトプットがあり、それが別のプロセス「D」とか「C」のインプットになっており、「D」は「P」のアウトプットをインプットとして何かをしてアウトプットがあり、それが更に「C」のアウトプットになって・・・と、いうふうな関係になっています。つまり、規格に書かれているPDCAサイクルは、それぞれ入力・処理・出力を持つタスクと、その前後関係の説明が記述されているのです。

ISMSが上手く回っていない組織は、このPDCAのタスクがバラバラに実行されていて、前後関係のあるタスクとして捉えられていないことが多いところが多いと感じます。

実は27001の規格の各項目を別の項目と前後関係のあるタスクとして捉えることが重要で、前後関係のあるタスクはタスクチャート(業務フロー)の形で表現することができたりします。

そして、タスクチャート(業務フロー)の形にできるということは、そこからWBSやスケジュール表に落とすこともできるのです。

そして、タスクとして捉えるということは、誰が実施担当者で、実施するためには何が必要で・・・といった具合に実施することや必要な資源がわかってきますし、タスクが分かれば、あとはそのタスクを実施するだけなのです。

こうして、スケジュールを立てて、前後関係を意識してタスクを実施していけば、実はPDCAサイクルは結構うまく実行できたりします。

ということで、もしこのあたりで悩んでいる方の参考になれば幸いです。

About Author

Comments are closed.