ISO 27001 & BS 25999

適用宣言書（SoAとも呼ばれる）の重要性は、一般に通常過小評価されています。適用宣言書は、ISO 9001における品質マニュアルの様に、情報セキュリティの大部分の実施方法を定義し中心的な役割を果たす文書です。

実際、適用宣言書はリスクアセスメントやリスク対応を情報セキュリティの実施に結びつける主な接点となります。その目的は、ISO 27001附属書Aで提案されている133の管理策（セキュリティ対策）のどれを適用するか、そして、適用可能な管理策をどのように実施するかを指定することです。

適用宣言書はなぜ必要か

すでにリスクアセスメント報告（これも必須）を作成済みで、その中にも必要な管理策は指定されているのに、適用宣言書のような文書が必要なのはなぜでしょうか。その理由は以下の通りです。

• まず第一に、リスク対応時に特定する管理策は、リスクを減らすために必要な管理策です。けれども、適用宣言書の中で特定する管理策には、法律、契約上の要求事項、他のプロセスの都合など、それ以外の理由で必要なものもあります。
• 第二に、リスクアセスメント報告は非常に長くなることがあります。組織によっては特定されるリスクの数は数千個（あるいはそれ以上）にもなる可能性があるので、そのような文書は実際の日常業務にはあまり役立ちません。それに対し、適用宣言書はより短くてすみます。適用宣言書は133行（1行が1個の管理策を表現）しかないので、経営陣に提示することも最新の状態を維持することも可能です。
• 第三に、これが最も重要ですが、適用宣言書には適用可能な管理策が導入済みかどうかを記載する必要があります。 例えば、文書（方針/手順/作業指示書など）を参照したり、使用する手順や装置を説明したりして、適用可能な各管理策の実施方法も記述するのがベスト・プラクティスです（監査員の多くもこれに注目します）。

実際、ISO 27001認証を取得する際には、認証審査員は適用宣言書を見ながら社内を歩き回って、適用宣言書に記述された通りに管理策が実施されているかどうかをチェックします。したがって、適用宣言書は現地監査を行う際に中心的な役割を果たす文書です。

質の高い適用宣言書を書くと文書の数を減らせることに気付いている会社はごくわずかです。たとえば、文書化したい管理策があって、その管理策の手順の説明がそれほど長くない場合には、適用宣言書に記載することができます。そうすれば、他の文書を書くことを避けられるでしょう。

適用宣言書はなんの役に立つか

私の経験では、ISO 27001に従って情報セキュリティマネジメントシステムを導入している会社の多くは、適用宣言書の記載に予想以上の時間を費やしています。なぜかというと、新しい装置を購入するか、手順を変変更するか、新しい従業員を雇うか、など、管理策の実施方法を考える必要があるからです。これは極めて重要な（そしてしばしばコストのかかる）決断なので、それに時間がかかることは驚くにはあたりません。適用宣言書のよいところは、体系的に仕事を行うことを組織に強制することです。

したがって、この文書を実用性のない形式的な書類の一つと考えるべきではありません。適用宣言書は、情報セキュリティでやりたいことを定義する基本的な宣言書であると考えてください。適切に書かれた適用宣言書は、情報セキュリティに関して、何を、何故、どのように行う必要があるのかを示す完全な見取り図となります。

適用宣言書の無料のテンプレートをダウンロードするには、ここをクリックしてください。

事業継続を中小企業に導入する意味はあるでしょうか。必要な情報はすべてオーナーの頭の中に入っているのに、事業継続のようなコストのかかるものが必要なのはなぜでしょう。

これは私が最近聞いた話です。ある小さな会社（多数の顧客にさまざまな設備を販売している）が強盗にあったそうです。盗賊は夜のオフィスに侵入し、コンピュータすべてと値打ちのある品物を盗んでいきました。 その会社のオーナーがデータをバックアップしていたのはよかったのですが、問題は、そのバックアップを同じオフィスの別のコンピュータに保存していたことです。 その会社は間もなく倒産しました。単に、事業関係の重要な情報を復元できなかったがために。

これは、中小企業の多くが患っている「まさかウチの会社でそんなことは起こらないだろう」症候群の古典的な例です。

事業継続のフレームワーク

これはつまり、中小企業もコストのかかる可用性の高い設備を持つ災害復旧用の代替地に投資する必要があるということでしょうか。もちろん違います。

必要な情報がすべてオーナーの頭の中にあるので、実際に事業継続が不要な会社もありますが、そのような例は稀です。中小企業の中にさまざまな重要情報をラップトップに保存していない会社がどれだけあるでしょうか。このような情報を災害時に利用する方法を考えること自体が、事業継続のための努力の一部です。

中小企業のオーナーは、事業にとって重要な情報（および他のリソース）はどれか、そのような情報や他のリソースを災害時に利用できることを保証する方法、および、災害時に事業活動を回復するために必要な手順を注意深く考える必要があります。 その手順とは、大企業が事業継続を導入する際に行っている通り、事業インパクト分析、事業継続戦略、事業継続計画を実行することに尽きます。 これらはすべて、事業継続の代表的な規格であるBS 25999-2に記載されています。

準備の方法

中小企業と大企業の違いは、事業継続のために中小企業が行う必要のある準備の複雑さやコストにあります。

• 電子的なデータのバックアップ - 中小企業では、データを即座にコンピュータからクラウドにバックアップするツールを利用できます。もちろん、必要な全データが含まれるように、しかるべき注意を払う必要があります。
• 紙ベースの文書のバックアップ - 中小企業は現在、日常の業務から紙ベースの文書をほぼ完全に排除して、すべてを電子的な形式に移行できる立場にあります。まれに紙ベースの文書が必要な場合には、事業継続のためにスキャンしておけばよいのです。
• オフィスの代替地 - ほとんどの場合、従業員が自宅で業務を継続するだけで十分です。そのための要件は、インターネット接続、ラップトップ/PC、および、パスワードを持っていることです。自宅勤務に向いていない場合、1 時間以内にホテルの部屋を借りることができます。
• ハードウェア - 事業に使っているのが特殊なコンピュータでない限り、代わりのものを見つけるのは極めて簡単です。家庭には普通個人用のコンピュータがありますし、親戚から借りることもできますし、近所のコンピュータ屋で買うこともできます。
• 労働力 – これがおそらく最も調達困難でしょう。他の人が知らない特定の情報（管理者パスワード、重要なプロジェクトで行う必要のある手順など）を知っている従業員がいなくなったときのことを考えてみましょう。そのような場合のための準備は、該当する情報をすべて文書化して、その従業員がいなくても利用できるようにすることでしょう。 もう一つ考えられるのは、いなくなった従業員の仕事を肩代わりする時間やスキルを持った人が他にいない場合です。そのような場合のための準備は、いなくなった従業員の仕事を臨時雇用で肩代わりできるような人を特定しておくことでしょう。ここで重要なことは、もちろん、適切なスキルや資格を持つ人材を特定することです。

結論： 事業継続フレームワークに関しては、大組織と小組織の間に違いはありません。どちらも、災害を乗り越えるために行う必要のある準備を細かく考える必要があります。 違いは準備の程度にあります。つまり、中小企業はごくわずかな投資で準備ができるということです。

これまで私のブログを読んできた人は多分思っているでしょう。私がISO 27001のことを、これまで書かれた文書の中で最も完全な文書だと信じていると。 でも実際には違います。この標準には、クライアントの仕事に協力したりこの分野の教育を行ったりしていると、常にぶつかる弱点があります。以下はその弱点と、それを解決するための私の提案です。

用語の曖昧さ

この標準の要件には、かなり曖昧な部分があります。

• 箇条4.3.1 c)では、ISMS文書には「ISMSを支えている手順及び管理策」を記載することを要求しています。これは、適用する管理策ごとに文書を書かなくてはならないということでしょうか（附属書Aには133個の管理策が記載されている）。 私はそこまで必要だとは思いません。私は普段クライアントに、運用やリスク削減の見地から必要な方針や手順だけを書くことをお勧めしています。適用宣言書には、導入した全管理策の説明を記載する必要があるので、それ以外の管理策については、適用宣言書に簡単に記載しておけば結構です。
• 方針や手順の（非）文書化 - 附属書Aの管理策の多くは、方針や手順について「文書化」という言葉を使わずに言及しています。つまり、そのような方針や手順は必ずしも文書に書かなくてもいいのですが、標準を読んだ人の95%はそれを明確に認識していません。
• 外部組織/第三者 - これらの用語は区別せずに使われるので、混乱の元になりがちです。一方の用語だけを使う方がよいでしょう。

標準の構成

この標準の要件の中には、文書のあちこちに散らばっていたり、不必要に重複していたりするものもあります。

• 単純に記載する場所が適切でない管理策もあります。たとえば、A.11.7「モバイルコンピューティング及びテレワーキング」は、A.11「アクセス制御」の項目の中にあります。もちろんモバイルコンピューティングを扱う際にはアクセス制御に注意する必要がありますが、モバイルコンピューティングやテレワーキングに関する問題を定義するのに、A.11がもっとも自然な場所とは言えません。
• 外部組織に関する問題は、A.6.2「外部組織」、A.8「人的資源のセキュリティ」、A.10.2「第三者が提供するサービスの管理」など標準の各処に散らばっています。クラウドコンピューティングその他のアウトソーシングに関しても、あらゆるルールを第三者を扱う特定の文書もしくは特定の文書セットにまとめることをお勧めします。
• 従業員の訓練や意識向上は、本編の箇条5.2.2、および、管理策A.8.2.2の両方で必要です。 このような重複は不必要なだけでなく、さらなる混乱の元にもなります。附属書Aの管理策は理論的に除外できるので、標準の本編が要求している実際には除外できない要件まで除外してしまう可能性があります。同じことは、「内部監査」（標準の本編箇条6）と管理策A.6.1.8「情報セキュリティの独立したレビュー」の間でも起こります。
• 附属書Aの管理策の中には、極めて広範囲に適用でき、他の管理策が含まれてしまうものもあります。例えば、管理策A.7.1.3「資産利用の許容範囲」はあまりに一般的すぎて、その中にはA.7.2.2（機密情報の取扱い）、A.8.3.2（雇用終了時の資産の返却）、A.9.2.1（装置の保護）、A.10.7.1（取外し可能な媒体の管理）、A.10.7.2（媒体の処分）、A.10.7.3（情報の取扱手順）なども含まれています。

本当に問題か

以下は、一般に困難な問題として注目されるものですが、私はそうは思いません。

• この標準は漠然とし過ぎて、細部の記述が不十分 - これ以上使用する技術の詳細に立ち入れば、すぐに時代遅れになるでしょう。これ以上方法論や組織的解決法の詳細に立ち入れば、適用できる組織の規模や種類が限られてしまうでしょう。大銀行と小規模なマーケティングエージェンシーでは組織編成を大幅に変える必要がありますが、どちらもISO 27001を導入できるようにしなくてはなりません。
• この標準は柔軟性がありすぎる - この批判は、セキュリティ管理策の中にリスクと関係ないものがある場合には、リスクアセスメントの概念によって除外できることを指摘しています。 でも、バックアップやアンチウィルス保護を除外することはできるでしょうか。 実際、この種の保護は、クラウドコンピューティングのような技術の進歩により、ISO 27001を導入する組織の責任ではなくなる可能性があります。 （ただし、このような場合には、アウトソーシングのリスクはむしろ高くなるので、他の種類のセキュリティ管理策が必要になるでしょう。）

今後の問題

この標準には変更の必要があるのは確かです。ISO/IEC 27001:2005の最新版は6年前に作成されたものなので、次の改訂時（2012年か2013年の予定）には上記の問題の多くが解決されていることを期待しましょう。

このような欠点はしばしば混乱の元になりますが、大局的に見れば、標準の良い面は悪い面を補って余りあると思います。そして私は実際、この標準が情報セキュリティ管理のための最高のフレームワークであると信じています。

あなたは、いつの間にかセキュリティ方針や手順を書く立場になっていたことはありませんか。 そんなことになっても、自分の書いた文書が引き出しの中で埃をかぶるような、ありがちな結果にはなりたくないですよね。そんなあなたの役に立ちそうな事があります。

これから私が紹介するステップは、さまざまなクライアントとの経験に基づいて私が設計したもので、大組織・小組織、公的組織・私的組織、営利組織・非営利組織など、いかなるクライアントにも該当します。 このステップは実際には、ISO 27001やBS 25999-2関連のものだけではなく、いかなる方針や手順にも適用できます。

1 要件を調べる

まず、さまざまな要件を慎重に調べる必要があります。文書化を要求するような規制はないか。クライアントとの契約はないか。組織内に既存の方針（社内標準）はないか。そしてもちろん、ISO 27001やBS 25999-2に準拠したいと思っている場合には、その要件はどうか。

2 リスクアセスメントの結果を考慮する

リスクアセスメントでは、文書の中で扱う問題だけでなく、その程度も判断します。たとえば、情報を機密度によって分類するか、する場合には、必要な機密度の数は2か3か4かなどを決める必要があります。

方針や手順が情報セキュリティや事業継続に関係しない場合には、このステップはこのような形をとらないこともあります。 けれども、リスクマネジメントの原則は、品質管理（ISO 9001）や環境管理（ISO 14001）など、他の分野にも同じように適用できます。 たとえばISO 9001では、品質管理にとって特定のプロセスがどの程度重要かを判断し、その判断にしたがって文書化するかどうかを決断する必要があります。

3 文書の構成を整理・最適化する

考慮しなくてはならないのは、文書の総数です。1ページの文書を10部書くか、それとも、10ページの文書の文書を1部書くか。どの文書も対象読者が同じなのであれば、1部だけの方がはるかに管理しやすいです。 （もっとも、100ページの文書を作るのはやめましょう。）

また、文書間の整合性にも注意する必要があります。ある文書で定義した問題が、すでに別の文書で部分的に定義されていることもあります。このような場合、必ずしも新しい文書を書く必要はなく、既存の文書を拡張するだけで済むかもしれません。

すでに他の文書で言及済みの問題を新しい文書に書く際には、冗長にならないようにしてください。 同じ事を記載した複数の文書を後で管理するのは悪夢です。同じ事を繰り返すのではなく、一方の文書からもう一方を参照するようにした方がよいでしょう。

4 文書の構成を決める

また、文書書式に関する会社のルールを注意深く遵守する必要があります。フォント・ヘッダ・フッタなどを定義したテンプレートがすでに存在することもあります。

すでにISO 27001やBS 25999-2（あるいは他のマネジメント規格）を導入済みである場合、文書管理手順を遵守する必要があります。この手順では、文書の書式だけでなく、文書の承認や配布のルールも定義しています。

5 文書を書く

経験則によれば、組織が小さいほどリスクも小さく、文書も簡単になります。 誰も読む気にならないような長い文書を書くほど無駄なことはありません。文書を読むには時間がかかり、人間の注意力は文書の行数に反比例するということを理解する必要があります。

このような他の従業員の抵抗（定期的にパスワードを変更しなければならない、というような変更が好きな人は誰もいません）を乗り越える妙手は、従業員自身を文書の作成やレビューに巻き込むことです。そうすれば、彼らはその必要性を理解してくれます。

6 文書の承認を得る

これはわかりきったステップですが、重要な意味があります。それは、社内で地位の高い管理者でなければ、文書を強制する権限がないということです。

それが、そのような地位にある者が文書を理解・承認し、その導入を積極的に求めなければならない理由です。 これは一見すると簡単そうですが、実際には簡単ではありません。導入時に最もつまづきやすいのは、このステップ（および次のステップ）なのです。

7 従業員の訓練および意識向上

このステップはおそらく最も重要なステップですが、残念ながら、非常に忘れられやすいステップでもあります。 先に述べたように、従業員は絶え間ない変更にうんざりしており、さらなる変更を歓迎することはありません。特に、それが仕事を増やすような変更ならなおさらです。

したがって、そのような方針や手順が必要な理由、会社全体だけでなく従業員個人のためにもなる理由を、従業員に説明することは極めて重要です。

また訓練が必要な場合もあります。新しい活動を実施するスキルを誰もが持っていると決め付けることは間違っています。文書を書いたあなた自身から見れば、簡単かつ自明な事かもしれませんが、従業員から見れば脳手術のように難しく見えることもあります。

これで終わり？

これで文書導入の話は終わりだと思ったら大間違い。あなたの旅はまだ始まったばかりです。誰もが気に入るような完璧な方針や手順を導入しただけではまだ不十分で、さらにそれを管理する必要があります。

誰かが絶えず文書を更新・改善しなければ、誰もそれを遵守しなくなるでしょう。そしてその「誰か」は大抵いつも同じ人、つまり文書を書いた人間です。 それだけではなく、そのような文書の目標が実現されたかどうかを誰かが測定する必要もあります。その「誰か」もおそらくあなたです。

この記事を読めば気づくかもしれませんが、方針や手順を成功させるには、優れたテンプレートがあるだけでは不十分です。必要なのは、それを導入するための包括的なアプローチです。その際に、忘れてはいけない重要な事があります。 それは、文書自体は目的ではないということです。文書は、活動やプロセスを円滑に実行することを可能にする道具に過ぎません。 逆に、そのような文書が活動やプロセスの実施をより困難にするというようなことがあってはならないのです。

種々の情報源によれば、事業継続の代表的な規格であるBS 25999-2は、2011年末までに国際規格ISO 22301に移行するそうです。 このような移行は珍しいことではありません。同じことはマネジメント規格のほとんどで起こっています。たとえば、BS 7799-2は2005年にISO 27001に引き継がれました。

ここで注意して欲しい大切な事が一つあります。ISO 22301はまだ正式に公表されていないので、この規格の最終版はまだ存在しません。ですから、私がここに書いたことの一部は最終版ではなくなっている可能性があるということです。私が使っているのは、2011年2月にBSiの草稿レビュー用ウェブサイトに公開された草稿版です。

ISO 22301の表題は、「ISO 22301 社会セキュリティ - 事業継続管理システム - 要求事項」になる予定です。 「社会セキュリティ」というのは、事業継続との関係を考えると奇妙に響くかもしれませんが、ISOでは「社会セキュリティ」を「全関係者間の技術的・人的・組織的・機能的な相互運用性の改善や状況認識の共有を通じた、危機管理や事業継続能力の強化を目標とする、社会セキュリティ領域の標準化」と定義しています。

BS 25999-2の基本的な要素はすべてISO 22301にも存在しますが、ISO 22301の構造がBS 25999-2とは大幅に異なることは一目でわかります。

より詳しく見てみましょう。

共通点

最大の共通点は、BS 25999-2の中にあった、事業継続方針、事業インパクト分析、リスクアセスメント、事業継続戦略（ISO 22301では「事業継続オプション」）、事業継続計画、演習、テストなどの事業継続の中心的要素は、ISO 22301の中にも存在するということです。

事業インパクト分析はおそらく、複数の項目に分割されて、さらなる正確さが求められるようになるでしょう。 対応手順や復旧計画を含む事業継続計画の要件も、たとえば通信関係の部分などがより詳しくなります。

また、BS 25999-2の文書管理・内部監査・マネジメントレビュー・是正処置・予防処置・人事管理などの管理関係の部分も新規格に移行します（これらの要素は、ISO 9001、ISO 14001、ISO 27001など他のあらゆるマネジメント規格にも含まれています）。

ただし、文書化は「文書化された情報」となり、予防処置は「問題や懸念に対処するための処置」となります。

相違点

計画-実行-点検-処置（PDCA）モデルに関しては、BS 25999-2はISO 27001ほど明確ではありませんが、ISO 22301ではさらに不明確になります。 けれども、この規格の主な部分は論理的に構成されているので、このことは規格を導入する過程の明確さには影響しないと思います。

ISO 22301では明らかに目標の設定や実績・測定基準の監視をより重視して、事業継続を首脳部の考え方により近いものにしようとしています。

このような方針に従い、ISO 22301では、経営陣に対する期待を明確化し、単一の項目にまとめています。

ISO 22301は、BS 25999-2の欠点の一つを解決し、事業継続を保証するために必要なリソースの計画や準備をより慎重に行うことを要求します。この要件は拡大されより明確な構成になります。

最後の相違点は、ISO 12230は国際規格だということです。つまり、認証機関はこの規格に対する認証をより厳しくするので、規格はより速やかに普及するでしょう。

結論としては、おそらく、BS 25999-2の基本的な要素はすべてISO 22301にも存在し、ISO 22301の方がより正確でより要求が厳しくなるだけだと思われます。 すでにBS 25999-2を導入済みでISO 22301に「アップグレード」したいと考える組織は、より細部に注意を払い、より多くの時間をシステムの準備や維持に費やす必要があるでしょう。 その一方、ISO 22301は、組織が回復力や信頼性の水準を向上させるためにも役立つはずです。これは、6年前にBS 7799-2がISO 27001に移行した際にも起きたことです。

この質問は、私が普段見込み客から受ける最初の質問の内の一つです。 ご期待に沿えず恐縮ですが、私は正確な数字をすぐには教えません。その理由は以下の通りです。

第一に、導入の総コストは、組織の規模（もしくはISO 27001の適用範囲に含まれる事業部門の規模）、情報の重要度（たとえば、銀行の情報は重要なのでより高度な保護が必要だと考えられる）、組織で利用しているテクノロジー（たとえば、データセンターは複雑なシステムなのでよりコストが高くなる傾向がある）、法的要件（金融セクターや政府セクターの情報セキュリティは一般に強く規制される）などに依存するからです。

第二に、必要な保護の程度がわからないと、正確なコストを計算することはできません。まず必要なセキュリティ対策を知るため、リスクアセスメントを実行する必要があります。

リスクアセスメントの結果が明らかになったら、以下のようなコストを計算する必要があります。

1. 資料や訓練のコスト

ISO 27001を導入するには、組織の変革が必要であり、新しいスキルが必要です。 関連するさまざまな本を購入したり、講習（通学またはオンライン）を受けさせたりすることにより、従業員を変革に備えさせることができます。このような講習の期間は1～5日程度です（ISO 27001とBS 25999-2を学ぶ方法をご覧ください）。

ISO 27001標準自体を購入することも忘れないでください。標準を実際に読まずに導入している企業に出くわすことは珍しくありません。

2. 外部支援のコスト

残念ながら、従業員を訓練するだけでは十分ではありません。 ISO 27001導入の経験が豊富なプロジェクトマネージャがいない場合には、そのような知識を持つ誰かが必要です。コンサルタントを雇う方法もあれば、オンラインのサービスを利用する方法もあります（これが弊社が情報セキュリティおよび事業継続アカデミーで行っていることです）。

この種のプロジェクトにおいて経験者の支援を受けることの最大の意義は、実際には必要のない活動や標準では要求していない大量の文書の作成などに何ヶ月も費やすような袋小路を避けられることです。これは軽視できないコストです。

ただし、ここで注意すべきことがあります。コンサルタントが代わりに導入を全部やってくれると思ってはいけません。ISO 27001を導入できるのは従業員だけです。

3. テクノロジーのコスト

おかしいと思うかもしれませんが、私がお手伝いした会社のほとんどでは、ハードウェアやソフトウェアなどに大金を投資する必要はありませんでした。すでに全部あったからです。最大の課題は通常、既存のテクノロジーをより安全に活用するにはどうすればよいか、でした。

ただし必要だと判明した場合にはそのような投資を計画する必要があります。

4. 従業員の時間コスト

標準は放っておけば勝手に導入されるものでもなければ、コンサルタント（を雇った場合）だけで導入できるものでもありません。従業員は、リスクがどこにあるか、あるいは、既存の手順や方針を改善したり新しい手順や方針を導入するにはどうすればよいかを知るために、時間を費やす必要があります。新たな職務や新しいルールに適応するための訓練にも時間が必要です。

5. 認証のコスト

ISO 27001に準拠していることを公式に証明したい場合、認証機関が認証審査を行う必要があります。認証コストは、仕事にかかる人日によって決まり、中小企業で10人日以下、より大きな組織で数十人日程度です。1人日当たりのコストは、地域によって異なります。

ISO 27001プロジェクトの真のコストを過小評価しないように注意してください。さもないと、経営陣はプロジェクトを否定的に見るようになります。 その一方で、あらゆるコストを正確に予測することは、あなたのプロとしてのレベルを示すことになります。そして、常にコストとベネフィットの両方を提示することを忘れないでください。詳しくは「ISO 27001導入の主な4つの利点」を参照してください。

私はよくISO 27001に関する噂を耳にするのですが、それを笑うべきか泣くべきかよくわかりません。 実際、人間はよく知らない事についてはおかしな判断をしがちです。以下はもっともありがちな誤解の例です。

「標準は…を求めている」

「標準はパスワードを3ヶ月ごとに変更することを求めている。」 「標準は複数の供給者の存在を求めている。」 「標準は主要サイトから50km以上離れた災害復旧サイトを求めている。」本当ですか？ 標準はそんなことは言っていません。 残念ながら、この種の間違った情報を私はよく耳にします。世の人はたいてい、ベストプラクティスを標準の要件であると勘違いしているのですが、問題は、あらゆるセキュリティ規則があらゆる組織に該当するわけではない、ということです。これが標準に規定されていると主張する人は、おそらく標準を読んだことのない人です。

「IT部門にやらせればいい」

経営者はこの台詞が大好きです。「情報セキュリティはITの問題でしょ。違うの？」 それがそうでもないのです。情報セキュリティでもっとも重要な側面には、IT対策だけではなく組織的な問題や人材管理も含まれます。これらは通常IT部門の権限の範囲外です。これに関しては「情報セキュリティかITセキュリティか」も参照してください。

「数ヶ月もあれば導入できる」

ISO 27001は数ヶ月で導入できるかもしれませんが、それだけでは、誰も省みない方針や手順の山ができるだけで、なんの役にも立ちません。情報セキュリティを導入するということは、変更を実現しなくてはならないということです。変更を実現するには時間がかかります。

導入する必要があるのは、言うまでもなく実際に必要なセキュリティ管理策だけなのですが、その実際に必要な管理策の分析にも時間がかかります。これはリスクアセスメントとかリスク対応とか呼ばれています。

「この標準はすべて文書の問題だよね」

文書はISO 27001実施の重要な一部ですが、文書自体が目的というわけではありません。重要なのは活動を安全な方法で行うことであり、それを助けるために存在するのが文書なのです。また記録の作成は、情報セキュリティの目標が達成されたかどうかを測り、目標に達していない活動を修正するために役立ちます。

「標準はマーケティングの役にしか立たない」

「これをやるのは認証を取得するだけのためだよね？」はい。企業の8割は（残念ながら）そう思ってます。 私はここで、ISO 27001をプロモーションやセールスのために利用するべきではない、と言うつもりはありませんが、それ以外にも、WikiLeaksのような事件が発生するのを防ぐというような、大きな恩恵を得られるはずです。 「ISO 27001導入の主な4つの利点」や「WikiLeaksから学ぶ教訓：情報セキュリティとは何か」も参照してください。

要は、意見を言う前に、まずISO 27001を読んでください、あるいは、自分で読むのが退屈すぎる（それは私も認めます）というなら、実際にその知識を持つ人に相談してください、ということです。そしてそれをマーケティング以外の役に立たせる、つまり、情報セキュリティに対する投資を採算の合うものにする可能性を高めてください。

あなたがISO 27001の導入を始めた方は、おそらく導入を簡単にする方法を探しているでしょう。 がっかりさせるて申し訳ありませんが、簡単な方法はありません。 でも、作業を簡単にするお手伝いをさせてください。以下は、ISO 27001認証を取得したいときに、通過しなければならない16の手順の一覧です。

1. 経営陣の支援を得る

これは当たり前に思えるので、通常あまり真剣には受け取られません。 けれども私の経験では、経営陣がプロジェクトに十分な人材や資金を提供しないことこそが、ISO 27001プロジェクトが失敗する一番の原因なのです。（このような事態を経営陣に示す方法については「ISO 27001導入の主な4つの利点」を参照してください。）

2. プロジェクトとして扱う

ISO 27001導入は、すでに述べたように、さまざまな活動やたくさんの人々が関わり、数カ月（もしくは1年以上）の年月を費やす複雑な問題です。なすべき事・なすべき人・時間枠を明確に定義（つまりプロジェクト管理を適用）しなければ、仕事は永遠に終わりません。

3. 適用範囲を定義する

大規模な組織の場合には、おそらく、組織の一部でだけISO 27001を導入することにより、プロジェクト・リスクを低下させるのが賢明でしょう。（ISO 27001で適用範囲を定義する際の問題）

4. ISMSの基本方針を書く

ISMSの基本方針は、ISMSの中でも最も上位にある文書です。基本方針は細かすぎてはいけませんが、組織の情報セキュリティにおける基本的な問題の一部を定義する必要があります。そういう大雑把な方針の目的はなんでしょうか。それは、経営陣が実現したい事やそれを管理する方法を定義することです。 （情報セキュリティ基本方針-どの程度詳しくするべきか）

5. リスクアセスメントの方法論を定義する

リスクアセスメントは、ISO 27001プロジェクトの中でも最も複雑な仕事です。そのポイントは、資産・ぜい弱性・脅威・影響・確率を特定するためのルールを定義すること、および、許容できるリスクのレベルを定義することです。このルールをはっきり定義しておかないと、せっかく出た結果が使えない、というような状況に陥る可能性があります。（「中小企業におけるリスクアセスメントの要領」を参照）

6. リスクアセスメントやリスク対応を実施する

ここでは、前の段階で定義したものを実施する必要があります。大規模な組織ではこれに数ヶ月単位の時間がかかる可能性があるので、慎重に協力して努力する必要があります。 ポイントは、組織の情報に関する危険の全体像を得ることです。

リスク対応プロセスの目的は、許容できないリスクを減らすことです。これは通常、附属書Aの管理策の利用を計画することにより実現されます。

この手順では、リスクアセスメントおよびリスク対応プロセスの際に行われたあらゆる手順を記述した、リスクアセスメント報告を書く必要があります。 また、適用宣言書の一部または別個の文書として、残留リスクの承認を得る必要があります。

7. 適用宣言書を書く

リスク対応プロセスが済めば、附属書のどの管理策が必要なのかを正確に理解できているはずです（管理策は133個ありますが、おそらくこのすべてが必要ということはないでしょう）。この文書（しばしばSoAと呼ばれる）の目的は、全管理策を列挙して、該当するものとしないもの、その決断の理由、その管理策で実現したい目標、その管理策の実施方法の記述などを定義することです。

また、適用宣言書は、経営陣からISMS導入の承認を得る際に最も適した文書です。

8. リスク対応計画を書く

リスク関連文書はすべて済んだと思ったら、まだありました。リスク対応計画の目的は、SoAの管理策を導入する方法、担当する人、導入する時期、その予算などを厳密に定義することです。 この文書は実際の管理策を意識した導入計画なので、これなしでは、それ以上プロジェクトを先に進めることはできないでしょう。

9. 管理策の有効性を測定する方法を定義する

これも過小評価されがちな作業です。 ここでのポイントは、実行結果を測定できなければ、目標が達成されたかどうかを保証できない、ということです。したがって、ISMS全体および適用宣言書の該当する各管理策の両方に対して設定した目標の、達成を測定する方法を定義するようにしてください。

10. 管理策および必須の手順を実施する

これは「言うは易し行うは難し」です。ここでは、必須とされる4手順、および、附属書Aの該当する管理策を実施する必要があります。

これは通常、プロジェクトの中でも最も危険な仕事になります。なぜなら、これは通常、新しい技術の適用、とりわけ、組織への新しい活動の導入を意味するからです。 多くの場合、新しい方針や手順が必要（つまり変化が必要）であり、人間は変化に抵抗するのが普通です。これこそが、リスクを回避するために次の作業（訓練・意識向上）が重要な理由です。

11. 訓練および意識向上プログラムの実施

職員に新しい方針や手順を導入させたいときには、まずその必要性を説明し、それを期待通り実行できるように職員を訓練する必要があります。このような活動の欠如は、ISO 27001プロジェクト失敗の2番目に多い理由です。

12. ISMSを運営する

ここで、ISO 27001は組織の日常業務になります。 ここでのキーワードは「記録」です。 審査員は記録が大好きです。記録なければ、特定の活動が実際に行われたことを立証するのは極めて難しいという事に気づくでしょう。 でも、記録はまず自分自身の役にも立つはずです。記録を使えば、実際に起きている事を監視することができます。あなたは、従業員（および供給者）が作業を要求どおり実行しているかどうかを、確実に知ることができるでしょう。

13. ISMSを監視する

ISMSでは何が起きているでしょうか。 インシデントの発生回数や種類は。あらゆる手順が適切に実行されているでしょうか。

ここが、管理策と測定方法論の目標が一致するところであり、出た結果が設定した目標を達成しているかどうかを検査する必要があります。 達成できていなければ、何かが間違っているはずなので、是正処置や予防処置を実行する必要があります。

14. 内部監査

人間は、自分のしていることが間違っていることに気づかない（また気づいていても、他人には知られたくない）ことが珍しくありません。 けれども、既存の問題や潜在的な問題に気づかないと、組織に害を与える可能性があります。そのような事態を発見するには、内部監査を実施する必要があります。ここでのポイントは、懲戒処分ではなく、是正処置や予防処置をとることです。( 「ISO 27001およびBS 25999-2内部監査員のジレンマ」を参照）

15. マネジメントレビュー

経営陣は、ファイアウォールを直接設定する必要はありませんが、ISMSで起こっている事、つまり、全員が任務を遂行しているか、あるいは、ISMSが望ましい結果を実現しているかを知る必要があります。 経営陣はそれに基づいて、重要な意思決定を行う必要があります。

16. 是正処置および予防処置

マネジメントシステムの目的は、間違った事（いわゆる「不適合」）のすべての是正・予防を保証することです。したがって、ISO 27001では是正処置・予防処置を体系的に実施することを求めています。つまり、不適合の根本原因を特定して、解決・検証する必要があるということです。

この記事により、やるべきことがはっきりすれば幸いです。ISO 27001は簡単な作業ではありませんが、必ずしも複雑ではありません。 必要なのは、各手順を慎重に計画することだけです。そうすれば認証を取得できるのでご安心ください。

をクリックすれば、以上の全手順を示したISO 27001導入プロセスの図を、必要な文書と共にダウンロードすることができます。

経営陣から事業継続を導入する仕事を与えられたのに、どうしていいかよくわからないとおっしゃる。 これは簡単な仕事ではありませんが、BS 25999-2の方法論を援用することで楽になります。以下は、この規格を導入するために必要な主な手順です。

1. 経営陣の支援を得る

これはBS 25999-2の必須の手順ではありませんが、間違いなく最初の重要な手順です。経営陣が事業継続の利益を理解せず、プロジェクトに積極的に関与しなければ、そのプロジェクトはたぶん失敗するでしょう。

2. プロジェクトとして扱う

事業継続管理システム（BCMS）の立ち上げには、極めて多くの時間や経営資源が必要です。やるべき事、時間枠、プロジェクト実施時の役割などを、明確に定義する必要があります。言い換えれば、プロジェクト管理の方法論を適用する必要があります。

3. 目標および適用範囲を定義し、BCM方針を書く

コンプライアンス、リスクのレベルを下げること、顧客/パートナーの要件など、BCMSによって実現したい事を定義する必要があります。 また、BCMSの対象範囲、つまり、組織全体かその一部かも定義する必要があります。たとえば、顧客にホスティング・サービスを提供している場合、データセンタだけを対象に決めてもかまいません。これらはすべてBCM方針の中に文書化する必要があります。

4. BCMSにおける役割及び責任を定義する

BCMSは組織の永久的な活動になるので、特にBCMSの「スポンサー」、「BCMコーディネータ」、「BCM管理者」など、BCMSに関する積極的な任務を持つ一人か二人の人にはっきりとした責任を定義する必要があります。このような役割や責任は、文書化しておくに越したことはありません。

5. 必須の手順を実施する

BS 25999-2では、文書および記録の管理、内部監査、予防処置・是正処置という、必須とされる4手順を実施する必要があります。これらの手順は、 ISO 27001やISO 9001と同様、実際のマネジメントシステムの基盤となります。

6. 事業インパクト分析およびリスクアセスメントを実施する

事業インパクト分析では、重要な活動、最大許容停止時間、重要な活動同士の依存関係（供給者や外部委託パートナーとの依存関係を含む）を特定して、目標復旧時間を設定する必要があります。

リスクアセスメントを行うと、重要な活動の中断原因となりうるものを実際に発見できます。それは天災であることも、人災（悪意があるか偶発的かを問わす）であることもあります。また、リスク対応も行う必要があります。つまり、困った事態の可能性を減らす方法を判断する必要があります。残念なことに、この規格では、リスクアセスメントや対応はあまり明確に定義されていません。したがって、これらをより詳しく記述したISO 27001を参照した方がよいかもしれません。

7. 事業継続戦略を決定する

事業継続計画を書き始める前に、重要な活動を再開するために必要な人材・場所・データ・ハードウェア・ソフトウェア・供給者・外部委託パートナーなどの経営資源を実際に判断する必要があります。

事業継続戦略では、必要な経営資源だけでなく、その経営資源を提供する方法も決定する必要があります。

8. インシデント管理計画および事業継続計画を開発する

インシデント管理計画の目的は、インシデントの広がりを防いで、直接的な影響を抑えるために、インシデント（火災・地震・爆弾テロ・停電など）の発生に直接対応する方法を記述することです。

一方、事業継続計画の目的は、重要な活動を復旧する方法や、準備した経営資源を投入する方法を記述することです。つまり、組織の活動を再開するために、誰が、いつ、どのようなデータや技術を使い、何をするかを記述する必要があります。

このような計画はすべて、主な担当者がいない場合でも実行できなければならないので、それだけ詳しく記述する必要があります。つまり、誰か他の人でも実行できるように書く必要があります。

9. 訓練および意識向上

中断時の事業継続計画の実行に必要な能力のレベルを定義し、さらに、そのレベルに到達するまで全職員（従業員および外部パートナー）を訓練する必要があります。

ただし、これではまだ足りません。さらに、なぜBCMが必要かを職員に説明する必要があります。 現実を直視しましょう。事業継続計画はおそらく一生に一回しか使われることはないので、多くの人は時間の無駄としか思っていません。したがって、なぜそのような計画が存在する必要があるかを説明する必要があります。（「BCM懐疑論者に対処する方法」も参照 )

10. BCMSの演習

これで完璧な計画を書けたと思っているとしたら、おそらく間違っています。最初から誤りのない計画を書くことは、ほとんど不可能です。 BCMSで演習が必須になっているのは、そのためです。計画はおおよそ実際の中断に似た状況でテストする必要があります。 そうやって初めて、計画のいいところと悪いところがわかるのです。

11. BCMSの維持およびレビュー

BCMSが古くならないようにするもう一つの方法は、事業継続計画や他の準備（供給者や外部委託パートナーとの契約、訓練および意識向上など）をレビューする間隔を定義することです。 環境の中には、あなたの文書を陳腐化するような、あらゆる種類の変化があります。たとえば、BCMSで特定の役割を果たす人間が会社を去るだけで、計画の中の電話番号は使えなくなります。

インシデントが実際に発生した場合には、インシデント後のレビューを行うことも必須です。その目的は、組織が実際にどう対処したか、それが計画通りだったかを調べることです。

12. 内部監査

内部監査の目的は、不備がないかどうかを、客観的に調べることです。内部監査員は、BCMSに不備があるかどうかを調べて、是正できる人間である必要があります。内部監査は、正しく行われれば、BCMSを改善する最善の方法の一つです。( 「ISO 27001およびBS 25999-2内部監査員のジレンマ」を参照）

13. マネジメントレビュー

先に述べたように、経営陣をプロジェクトに参加させることは極めて重要です。そのために設計されたのが マネジメントレビューです。この規格では、経営陣がBCMに関連するあらゆる事実を調べて、目標が達成されたかどうかを判断する必要があります。マネジメントレビューが済んだら、経営陣はどのような改善を行うべきかを決める必要があります。

14. 予防処置および是正処置

間違い（BS 25999用語では「不適合」）は、起こる前に防ぐに越したことはありません。これこそが予防処置の目的です。つまり、問題が起こる前に是正するための体系的な方法です。予防処置と同様に、起こってしまった問題を解決する是正処置もあります。

では、BS 25999-2を使うのはなぜでしょうか。 BS 25999-2はまだ国際規格ではありませんが、全世界の事業継続規格の中で最も人気のある規格です。上述の手順は、最高の事業継続専門家によって設計されたものなので、事業継続のベスト・プラクティスを導入したい場合には、他を探す必要はありません。

をクリックすれば、以上の全手順を示したBS 25999-2導入プロセスの図を、必要な文書と共にダウンロードすることができます（登録が必要）。

学ぶことは、ISO 27001やBS 25999-2導入を容易にする最高の方法の一つです。 利用できるコースの種類は続々と増えているので、その利点や相違点を説明しましょう。

まず、通学コースの一覧です。このようなコースは依然として多いですが、オンラインコース（この記事の最後で説明）に着実にシェアを譲りつつあります。

ISO 27001またはBS 25999-2主任審査員コース

これは、ISO 27001やBS 25999-2で最も人気のあるコースです。このコースは5日間続き、最後に筆記試験があります。この試験はかなり難しいです。ですから、このコースは、この2つの規格の最も高度なコースであると考えられます。 この試験に合格すれば、認証機関の審査員になることができますが、それが主な利点ではありません。このコースは、規格の概要をわかりやすく教えてくれるし、認証審査員が認証審査で求めるものを詳しく説明してくれるので、規格を導入する専門家に最も役立ちます。つまり、審査員と実施者の両方に役立つのです。

このコースの対象者は、情報セキュリティ・事業継続・監査に中程度または高度の経験を持つプロです。 選ぶのは、（IRCA – irca.orgなどにより）公認されたコースだけにすべきでしょう。

ISO 27001またはBS 25999-2主任実施者コース

このコースもやや似ていますが、ISO 27001やBS 25999-2の主任審査員コースほどは人気がありません。 違いは、監査技術よりも導入技術に重点を置いていることです。したがって、認証に関心がない人は、このコースの方が向いていると思うかもしれません。

対象者もよく似ています。情報セキュリティ・事業継続・ITに中程度または高度の経験を持つプロです。

ISO 27001またはBS 25999-2内部監査員コース

このコースは、ISO 27001やBS 25999-2主任審査員コースの「軽い」バージョンです。通常2～3日間続き、試験はあることもないこともあり、内容は主任審査員コースを凝縮したものです。主な違いは、このコースでは、認証機関の審査員としてのキャリアは追求できないということです。けれども、ISO 27001やBS 25999-2の世界への体系的な紹介を望む人や、自社の内部監査員になる予定の人とっては、このコースは正しい選択です。

対象者は、情報セキュリティ・事業継続・ITに初歩または中程度の経験を持つプロです。

ISO 27001またはBS 25999-2基礎/導入コース

このようなコースは、通常1～2日間続きます。目的は、監査や導入の技術を教えることではなく、要件や導入時の問題に関する概要を教えることです。 あまり時間の余裕がなく、導入時に企業が経験する事を知りたい人は、このようなコースの1を検討してみましょう。

対象者は、経営陣の一員、または、情報セキュリティや事業継続の経験のないプロです。

それ以外の情報セキュリティ/事業継続コース

公認情報システム監査士（CISA）、公認情報セキュリティマネージャー（CISM）、公認情報システムセキュリティプロフェッショナル（CISSP）などについて聞いたことがあるでしょうか。このようなコースは、情報セキュリティや事業継続のキャリアには大変役立つと思いますが、ISO 27001やBS 25999-2には直接関係ありません。 したがって、CISA、CISM、CISSPには、2つの規格に直接関連するコースを完了した後で通った方がよいでしょう。

オンライン・コース

値段が安いこと、交通費が不要なこと、外出時間不要なことなどから、上述の通学コースに加えて、オンライン・コース（e-ラーニングまたはライブ・ウェビナー）が人気になりつつあります。 インターネット上の学校は（情報セキュリティおよび事業継続アカデミーを含む）続々と増え、より質の高いコンテンツを提供しつつあります。1時間（無料ウェビナーなど）から2～3週間（ｅ-ラーニング・コースなど）までのコースがあります。

オンライン・コースの実際の有効性には疑問が残りますが、主な利点は、短時間に安価でより重要な知識から学べることです。

ただし、コースの形式や種類に関わらず、投資効果がすぐ現れるかどうかには注意してください。