13-1. 【Lv.3網羅的アプローチ】の概要

13-2. 【Lv.3網羅的アプローチ】フレームワークを参考とした実施手順

13-3. ISMS文書体系（ISMS構築・導入に必要な文書と記録）

13-4. ISO/IEC27001の審査準備と審査内容

 

章の目的

第13章では、情報セキュリティマネジメントシステム（ISMS）のフレームワークを用いて、体系的・網羅的にセキュリティ対策基準、実施手順を作成するLv.3網羅的アプローチについて理解することを目的とします。

主な達成目標

⚫︎ Lv.3網羅的アプローチ手法を用いて、対策基準・実施手順を策定する方法を理解すること

 

主なキーワード Lv.3網羅的アプローチ、PDCAサイクル

 

要旨

13章の全体概要

13章では、情報セキュリティマネジメントシステム（ISMS）を構築するためのLv.3網羅的アプローチについて説明しています。Lv.3網羅的アプローチは、ISMSのフレームワークに従い、組織全体で適用できるセキュリティ対策基準と手順を整備する方法です。ISMSの運用ではPDCAサイクルを用い、計画・実行・評価・改善のプロセスを通じて継続的に改善を実施します。ISO/IEC 27001の要求事項に基づき、ISMSに関する文書作成が求められますが、重要なのはセキュリティ対策の策定と実施なので、文書の作成が目的にならないよう注意が必要です。

 

13-1. 【Lv.3網羅的アプローチ】の概要

Lv.3網羅的アプローチ

Lv.3網羅的アプローチでは、フレームワークとしてISMSを用いて、体系的・網羅的にセキュリティ対策基準、実施手順を作成します。ISMSのフレームワークに沿うため、技術的対策といった一部の内容に限らず、運用や監査についても含めて対策基準、実施手順を策定します。ISMSにおけるPDCAサイクルを回すために重要となるドキュメントの作成方法や、実施すべき事項について焦点を当てて説明しています。

Lv.3網羅的アプローチのメリットは、ISMS要求事項の導入によって組織のセキュリティレベルが大幅に向上することです。デメリットは、時間とコストがかかることです。

ISMSの要求事項に関連するドキュメント作成は重要ですが、あくまで手段であり目的ではありません。ドキュメントの作成と維持が目的化してしまうと、ドキュメントが形骸化し、情報セキュリティ対策としての意味がほとんどなくなってしまう場合があります。ドキュメントを精細に作り込むことより、ISMSマネジメントプロセスを取り入れ、PDCAサイクルを回していくことが大切です。ISMSに取り組みはじめたときには理解できていても、ドキュメントづくりをはじめるとドキュメント作成が目的になってしまうケースが多いため、注意が必要です。

 

13-2. 【Lv.3網羅的アプローチ】フレームワークを参考とした実施手順

ISMSは、PDCAサイクルに則って運用することになります。ISMSにおけるPDCAサイクルを回すために重要となるドキュメントの作成方法や、実施すべき事項について焦点を当てて説明しています。

図118. ISMSのPDCAサイクル

ISMSの要求事項を定めているISO/IEC 27001の1から3はそれぞれ「1.適用範囲」「2.引用規格」「3.用語および定義」なので、実質的な要求事項は「4.組織の状況」から「10.改善」までの7項目となっています。

 

4. 組織の状況 組織の内情や取り巻く状況、利害関係者のニーズを把握した上でISMSの適用範囲を決定することを要求している。 5. リーダーシップ トップマネジメントが主導してISMSを構築することを要求している。（トップマネジメントが実施するべきことのまとめ） 6. 計画 ISMSの計画を立てる際の要求事項。 7. 支援 従業員の教育など、ISMS構築にあたり組織が従業員に行うべきサポートを要求している。 8. 運用 ISMSを実行する際の要求事項。 9. パフォーマンス評価 適切なISMSが構築・運用できているか評価する際の要求事項。 10. 改善 ISMSの是正処置やリスク、改善の機会、ISMS認証の不適格があった場合の対処法。

 

13-3. ISMS文書体系（ISMS構築・導入に必要な文書と記録）

ISMS（情報セキュリティマネジメントシステム）の構築や導入に必要な文書と記録の重要性を説明しています。ISMS文書は、組織内で情報セキュリティの有効な管理を実施するための基本的な要素として、対策や手続きが記載されています。

ISMS文書体系には、以下のポイントが含まれます:
● 文書の策定内容とその要点:
対策基準や実施手順が明確に示され、実施状況の確認が可能。
● 管理策:
ISO/IEC 27001の要求事項に基づいた文書作成が推奨され、組織全体でのセキュリティ向上を支援します。

 

13-4. ISO/IEC27001の審査準備と審査内容

ISO/IEC 27001認証取得に向けた審査準備や審査の具体的内容について説明しています。主要な内容は以下の通りです。
● 認証機関の選定と申し込み:
認証機関は、ISMS-AC（情報マネジメントシステム認定センター）から認定された組織である必要があり、申請には書類や登録料が異なることを事前に確認します。
● 審査事前準備:
ISMS構築のステップを踏まえて、審査対象の範囲や実施手順の文書化が求められます。
● 第一段階・第二段階審査:
1次審査は文書レビュー、2次審査は現地での実施状況確認が行われ、適合が確認されると認証書が発行されます。
● 維持審査・再認証審査:

年1回以上の維持審査と、3年ごとの再認証審査で、ISMSの有効性が評価されます。

 

訴求ポイント

章を通した気づき・学び

ISMSを用いるLv.3網羅的アプローチを実施することで、単にセキュリティ対策を検討するだけではなく、PDCAサイクルによってISMS自体を継続的に改善し、より自社に適した対策を策定・実施できるようになります。

 

認識していただきたい実施概要

⚫︎ 「4.組織の状況」から「10.改善」までの7項目で必要なドキュメントの作成手順を理解すること。 ⚫︎ ISMSマネジメントプロセスを取り込み、PDCAサイクルを回すこと。

 

詳細理解のため参考となる文献（参考文献）
ISO/IEC 27001:2022	https://www.iso.org/standard/27001
ISO/IEC 27002:2022	https://www.iso.org/standard/75652.html
ISMS適合性評価制度	https://isms.jp/isms.html