ISO9001のメニュー

ISO27001とは?ISO27001構築手順ISO27001構築のポイント徹底解説!!ISO27001要求事項資料集

トップページへ

ISO27001の構築手順

ISO27001の構築手順にはさまざまな手法がありますが、こちらでは当社が推奨している、

リスク対応型構築

の手順を紹介します。

リスク対応型構築手順

リスク対応型構築手順とは、

  1. 業務におけるリスクの発生可能性を洗い出し
  2. リスクの解決のために必要な項目を明確にし
  3. それらを改善するための仕組みを構築し
  4. 継続して行えるよう組織作りをする

という考え方の手順です。

業務の洗い出し

まずは業務の洗い出しから始めます。

そもそも何の業務を実際にやっているのか、改めて形にしてこないと見えてこないことがたくさんあります。

ここで業務フローなどを作成しますが、詳細である必要性は必ずしもありません。

あくまでも業務内容がわかり、その業務にまつわる環境影響について議論できることが大切なので、業務の概要がわかる程度のフローを作成するようにします。

ISO27001業務フローイメージ

リスクの洗い出し

リスクについては、規格要求上で、情報資産におけるリスクの発生可能性、リスクの影響を洗い出すことが求められています。

ISO27001リスクの考え方

まずは、情報資産とその取り扱いの状況を明確にしたら、その情報資産と取り扱いのプロセスにおいて、問題となるような状況を想定し、それらの影響と発生可能性を評価します。

その影響については、大きさを

ごとに分類し、それぞれの影響を評価します。

そこで、リスクの大きいものについては、

などの方法を検討していきます。

また、場合によってはリスクを容認することも許可されています。

セキュリティ対策

次に、それらを実現するための対策について考えます。

セキュリティ対策については、詳細管理策として選択可能な項目が133項目用意されているので、それらの中から、対策を選択していきます。

この仕組みを考えるときに重要なポイントは、

などの、問題の本質をあらかじめ明確にしておくことです。

この論点なしに構築を進めると、いたずらに手順を増やしすぎてしまったり、マニュアルを過度に作りすぎてしまうことにつながります。

特に、リスク対策といえば、すぐに施錠することなどを考えがちですが、機密性をあげるために鍵をかければ使用したいときに使用しづらくなって可用性が下がりますし、完全性を保つためにアクセス権を制限すると、本来アクセスをすべき人のアクセス権まで侵害してしまい、可用性が下がる、などといったことがよくあります。

重要なのは、リスクのバランスを見極めた上で、必要な対策の優先順位を決めることです。

組織作り

特にこのマネジメントシステムの難しさは、継続することにあります。

品質マネジメントシステムなどは、日常の業務に密着したことなので意識しやすいのですが、セキュリティについては意識しなければ忘れてしまうような、業務のおまけとして実施されるようなことが多いのが事実です。

そのためにも、組織作りはきわめて重要です。

ただし、専任の担当者がいればいいというわけではありません。

環境に影響を与えるのは実際に業務を行っている部門なのですから、それらの意見を徴収するためには、幅広く意見を拾うことの出来るような組織体が必要です。

また、組織を挙げて環境対策をするためにも、会社ぐるみでいかに取り組むか、ということを検討することも重要な要素になります。