ISO 27001 & BS 25999

私は、情報セキュリティ基本方針を詳しく書こうとして、戦略目標からパスワードの文字数まであらゆることを網羅しようとするところを、たびたび見てきました。 そのような基本方針の唯一の問題点は、それが50ページ以上にもなるということ、そして、そんなものを真面目に読もうとする人は誰もいないということです。そのような基本方針は通常、審査員を満足させるだけのための作り物の文書としてしか役立ちません。

でも、そのような基本方針を実施するのが極めて難しいのはなぜでしょう。 それは、そのような基本方針は野心的過ぎるからです。網羅しようとする問題が多すぎ、対象とする人々の範囲が広すぎるからです。

代表的な情報セキュリティ規格であるISO 27001で、さまざまなレベルの情報セキュリティ基本方針を定義しているのはそのためです。

• 高レベルの方針（情報セキュリティマネジメントシステムの基本方針など) – このような高レベルの基本方針では、通常、戦略的な意図や目標を定義します。
• 詳細な方針 – このような方針では通常、選ばれた領域の情報セキュリティの厳密な責任などをより詳しく記述します。

ISO 27001では、情報セキュリティマネジメントシステム（ISMS）の基本方針に対し、最高レベルの文書として、目標を設定し、さまざまな要件や義務を考慮に入れ、組織の戦略的なリスクマネジメントの文脈に合わせて、リスク評価基準を確立するためのフレームワークであることを求めています。 そのような基本方針の主な目的は、首脳部がISMSを管理できることなので、極めて短いもの（1、2ページ）である必要があります。

一方、詳細な方針は、運用時の利用を目的とすべきであり、より狭い範囲のセキュリティ活動に焦点を合わせるべきです。 そのような方針の例としては、分類方針、情報資産の許容できる利用方針、バックアップ方針、アクセス制御方針、パスワード方針、クリアデスク・クリアスクリーン方針、ネットワーク・サービスの利用についての方針、モバイル・コンピューティングの方針、暗号による管理策の利用方針などがあります。 その管理策が適用可能か、あるいは、どこまで適用可能かの決定は、リスクアセスメントの結果に依存するので、ISO 27001では、このような方針の導入や文書化を要求していません。ご注意ください。

そのような方針はより詳しく記述する必要があるので、通常はさらに長くなり、最高で10ページ程度になります。これより大幅に長い方針を導入・維持することは極めて難しくなります。

つまり、情報セキュリティは単一の方針の中で定義するには複雑すぎる問題なのです。ISMSの異なる側面や「対象グループ」に対しては、異なる方針を定義すべきです。中規模の組織では通常、ISMSに最高で15個もの方針を定義します。

そんな数の方針は、企業にとって負担にしかならないと言う人もいるでしょう。 認証審査のことしか考えずに書かれた方針は、官僚主義をもたらすだけだということには私も同意します。 けれども、リスクを減らす意図で書かれた方針は、すぐにではなくても、おそらく2、3年のうちにはインシデントの数を減らし、その価値が明らかになることでしょう。

—

また、弊社のビデオ・チュートリアルHow to Write the ISMS Policy According to ISO 27001（市販ビデオ）もご利用ください。

This post is also available in: 英語, ドイツ語, スペイン語, クロアチア語, ポルトガル語（ブラジル）