ISO 27001 & BS 25999

この2つ言葉は同義語だと思われがちです。結局のところ、情報セキュリティはコンピュータに関する問題ではないかと。

でも違います。 基本的なポイントは、仮に完璧なITセキュリティ対策を施したとしても、たとえば、管理者によるたった1回の悪意ある操作だけで、ITシステム全体をダウンさせることができるということです。このリスクはコンピュータとは無関係であり、人間・プロセス・監督などの問題です。

また、重要情報はデジタル形式であるとは限らず、たとえば、得意先が署名した重要な契約、社長の作成した個人的なメモ、印刷され金庫に保管された管理者パスワードなどのように、書面形式である可能性もあります。

したがって、私はクライアントに常々、ITセキュリティは情報セキュリティの半分にすぎないと言っています。なぜなら情報セキュリティは、物理的セキュリティ・人的資源管理・法的保護・組織・プロセスなどからも成り立っているからです。 情報セキュリティの目的は、（IT関連もしくは非IT関連の）情報セキュリティに起こりうるリスクのすべてを考慮に入れたシステムを構築して、許容できないリスクのすべてを抑制する包括的な管理策を導入することです。

このような統合された情報セキュリティへのアプローチが最もきちんと定義されているのは、情報セキュリティ管理の代表的な国際規格であるISO 27001です。 簡単に言えば、ISO 27001では、ハードウェア・ソフトウェア・文書・人材・供給者・パートナーを含む組織のあらゆる資産に対するリスクアセスメント、および、そのリスクを抑制するための該当する管理策の選択を求められます。

ISO 27001の附属書Aでは、133個の管理策を提案しています。私はこの管理策の簡単な分析を行なってみました。その結果は以下の通りです。

• IT関連の管理策： 46%
• 組織・文書関連の管理策： 30%
• 物理的なセキュリティ管理策： 9%
• 法的保護： 6%
• 供給者や買い手関連の管理策： 5%
• 人的資源の管理策： 4%

これが、情報セキュリティ/ISO 27001の導入に際して、何を意味するでしょうか。それは、このようなプロジェクトはITプロジェクトと見なすべきではないということです。なぜなら、ITプロジェクトと見なすと、組織全体が喜んで参加したがらなくなるからです。 このようなプロジェクトは、首脳部・IT担当者・法律の専門家・人材管理担当者・物理的セキュリティ担当者・組織の事業サイドなど、あらゆる事業部門の関連する人々が参加すべき、企業規模のプロジェクトと見なすべきです。 そのようなアプローチをとらないと、結局はあなたがITセキュリティを担当する羽目になり、最大のリスクから保護されないことになります。

—

また、弊社のウェビナーISO 27001 Foundations Part 3: Annex A overview（市販トレーニング）もご利用ください。

This post is also available in: 英語, ドイツ語, スペイン語, クロアチア語, ポルトガル語（ブラジル）