ISO 27001 & BS 25999

適用宣言書（SoAとも呼ばれる）の重要性は、一般に通常過小評価されています。適用宣言書は、ISO 9001における品質マニュアルの様に、情報セキュリティの大部分の実施方法を定義し中心的な役割を果たす文書です。

実際、適用宣言書はリスクアセスメントやリスク対応を情報セキュリティの実施に結びつける主な接点となります。その目的は、ISO 27001附属書Aで提案されている133の管理策（セキュリティ対策）のどれを適用するか、そして、適用可能な管理策をどのように実施するかを指定することです。

適用宣言書はなぜ必要か

すでにリスクアセスメント報告（これも必須）を作成済みで、その中にも必要な管理策は指定されているのに、適用宣言書のような文書が必要なのはなぜでしょうか。その理由は以下の通りです。

• まず第一に、リスク対応時に特定する管理策は、リスクを減らすために必要な管理策です。けれども、適用宣言書の中で特定する管理策には、法律、契約上の要求事項、他のプロセスの都合など、それ以外の理由で必要なものもあります。
• 第二に、リスクアセスメント報告は非常に長くなることがあります。組織によっては特定されるリスクの数は数千個（あるいはそれ以上）にもなる可能性があるので、そのような文書は実際の日常業務にはあまり役立ちません。それに対し、適用宣言書はより短くてすみます。適用宣言書は133行（1行が1個の管理策を表現）しかないので、経営陣に提示することも最新の状態を維持することも可能です。
• 第三に、これが最も重要ですが、適用宣言書には適用可能な管理策が導入済みかどうかを記載する必要があります。 例えば、文書（方針/手順/作業指示書など）を参照したり、使用する手順や装置を説明したりして、適用可能な各管理策の実施方法も記述するのがベスト・プラクティスです（監査員の多くもこれに注目します）。

実際、ISO 27001認証を取得する際には、認証審査員は適用宣言書を見ながら社内を歩き回って、適用宣言書に記述された通りに管理策が実施されているかどうかをチェックします。したがって、適用宣言書は現地監査を行う際に中心的な役割を果たす文書です。

質の高い適用宣言書を書くと文書の数を減らせることに気付いている会社はごくわずかです。たとえば、文書化したい管理策があって、その管理策の手順の説明がそれほど長くない場合には、適用宣言書に記載することができます。そうすれば、他の文書を書くことを避けられるでしょう。

適用宣言書はなんの役に立つか

私の経験では、ISO 27001に従って情報セキュリティマネジメントシステムを導入している会社の多くは、適用宣言書の記載に予想以上の時間を費やしています。なぜかというと、新しい装置を購入するか、手順を変変更するか、新しい従業員を雇うか、など、管理策の実施方法を考える必要があるからです。これは極めて重要な（そしてしばしばコストのかかる）決断なので、それに時間がかかることは驚くにはあたりません。適用宣言書のよいところは、体系的に仕事を行うことを組織に強制することです。

したがって、この文書を実用性のない形式的な書類の一つと考えるべきではありません。適用宣言書は、情報セキュリティでやりたいことを定義する基本的な宣言書であると考えてください。適切に書かれた適用宣言書は、情報セキュリティに関して、何を、何故、どのように行う必要があるのかを示す完全な見取り図となります。

適用宣言書の無料のテンプレートをダウンロードするには、ここをクリックしてください。

あなたがISO 27001の導入を始めた方は、おそらく導入を簡単にする方法を探しているでしょう。 がっかりさせるて申し訳ありませんが、簡単な方法はありません。 でも、作業を簡単にするお手伝いをさせてください。以下は、ISO 27001認証を取得したいときに、通過しなければならない16の手順の一覧です。

1. 経営陣の支援を得る

これは当たり前に思えるので、通常あまり真剣には受け取られません。 けれども私の経験では、経営陣がプロジェクトに十分な人材や資金を提供しないことこそが、ISO 27001プロジェクトが失敗する一番の原因なのです。（このような事態を経営陣に示す方法については「ISO 27001導入の主な4つの利点」を参照してください。）

2. プロジェクトとして扱う

ISO 27001導入は、すでに述べたように、さまざまな活動やたくさんの人々が関わり、数カ月（もしくは1年以上）の年月を費やす複雑な問題です。なすべき事・なすべき人・時間枠を明確に定義（つまりプロジェクト管理を適用）しなければ、仕事は永遠に終わりません。

3. 適用範囲を定義する

大規模な組織の場合には、おそらく、組織の一部でだけISO 27001を導入することにより、プロジェクト・リスクを低下させるのが賢明でしょう。（ISO 27001で適用範囲を定義する際の問題）

4. ISMSの基本方針を書く

ISMSの基本方針は、ISMSの中でも最も上位にある文書です。基本方針は細かすぎてはいけませんが、組織の情報セキュリティにおける基本的な問題の一部を定義する必要があります。そういう大雑把な方針の目的はなんでしょうか。それは、経営陣が実現したい事やそれを管理する方法を定義することです。 （情報セキュリティ基本方針-どの程度詳しくするべきか）

5. リスクアセスメントの方法論を定義する

リスクアセスメントは、ISO 27001プロジェクトの中でも最も複雑な仕事です。そのポイントは、資産・ぜい弱性・脅威・影響・確率を特定するためのルールを定義すること、および、許容できるリスクのレベルを定義することです。このルールをはっきり定義しておかないと、せっかく出た結果が使えない、というような状況に陥る可能性があります。（「中小企業におけるリスクアセスメントの要領」を参照）

6. リスクアセスメントやリスク対応を実施する

ここでは、前の段階で定義したものを実施する必要があります。大規模な組織ではこれに数ヶ月単位の時間がかかる可能性があるので、慎重に協力して努力する必要があります。 ポイントは、組織の情報に関する危険の全体像を得ることです。

リスク対応プロセスの目的は、許容できないリスクを減らすことです。これは通常、附属書Aの管理策の利用を計画することにより実現されます。

この手順では、リスクアセスメントおよびリスク対応プロセスの際に行われたあらゆる手順を記述した、リスクアセスメント報告を書く必要があります。 また、適用宣言書の一部または別個の文書として、残留リスクの承認を得る必要があります。

7. 適用宣言書を書く

リスク対応プロセスが済めば、附属書のどの管理策が必要なのかを正確に理解できているはずです（管理策は133個ありますが、おそらくこのすべてが必要ということはないでしょう）。この文書（しばしばSoAと呼ばれる）の目的は、全管理策を列挙して、該当するものとしないもの、その決断の理由、その管理策で実現したい目標、その管理策の実施方法の記述などを定義することです。

また、適用宣言書は、経営陣からISMS導入の承認を得る際に最も適した文書です。

8. リスク対応計画を書く

リスク関連文書はすべて済んだと思ったら、まだありました。リスク対応計画の目的は、SoAの管理策を導入する方法、担当する人、導入する時期、その予算などを厳密に定義することです。 この文書は実際の管理策を意識した導入計画なので、これなしでは、それ以上プロジェクトを先に進めることはできないでしょう。

9. 管理策の有効性を測定する方法を定義する

これも過小評価されがちな作業です。 ここでのポイントは、実行結果を測定できなければ、目標が達成されたかどうかを保証できない、ということです。したがって、ISMS全体および適用宣言書の該当する各管理策の両方に対して設定した目標の、達成を測定する方法を定義するようにしてください。

10. 管理策および必須の手順を実施する

これは「言うは易し行うは難し」です。ここでは、必須とされる4手順、および、附属書Aの該当する管理策を実施する必要があります。

これは通常、プロジェクトの中でも最も危険な仕事になります。なぜなら、これは通常、新しい技術の適用、とりわけ、組織への新しい活動の導入を意味するからです。 多くの場合、新しい方針や手順が必要（つまり変化が必要）であり、人間は変化に抵抗するのが普通です。これこそが、リスクを回避するために次の作業（訓練・意識向上）が重要な理由です。

11. 訓練および意識向上プログラムの実施

職員に新しい方針や手順を導入させたいときには、まずその必要性を説明し、それを期待通り実行できるように職員を訓練する必要があります。このような活動の欠如は、ISO 27001プロジェクト失敗の2番目に多い理由です。

12. ISMSを運営する

ここで、ISO 27001は組織の日常業務になります。 ここでのキーワードは「記録」です。 審査員は記録が大好きです。記録なければ、特定の活動が実際に行われたことを立証するのは極めて難しいという事に気づくでしょう。 でも、記録はまず自分自身の役にも立つはずです。記録を使えば、実際に起きている事を監視することができます。あなたは、従業員（および供給者）が作業を要求どおり実行しているかどうかを、確実に知ることができるでしょう。

13. ISMSを監視する

ISMSでは何が起きているでしょうか。 インシデントの発生回数や種類は。あらゆる手順が適切に実行されているでしょうか。

ここが、管理策と測定方法論の目標が一致するところであり、出た結果が設定した目標を達成しているかどうかを検査する必要があります。 達成できていなければ、何かが間違っているはずなので、是正処置や予防処置を実行する必要があります。

14. 内部監査

人間は、自分のしていることが間違っていることに気づかない（また気づいていても、他人には知られたくない）ことが珍しくありません。 けれども、既存の問題や潜在的な問題に気づかないと、組織に害を与える可能性があります。そのような事態を発見するには、内部監査を実施する必要があります。ここでのポイントは、懲戒処分ではなく、是正処置や予防処置をとることです。( 「ISO 27001およびBS 25999-2内部監査員のジレンマ」を参照）

15. マネジメントレビュー

経営陣は、ファイアウォールを直接設定する必要はありませんが、ISMSで起こっている事、つまり、全員が任務を遂行しているか、あるいは、ISMSが望ましい結果を実現しているかを知る必要があります。 経営陣はそれに基づいて、重要な意思決定を行う必要があります。

16. 是正処置および予防処置

マネジメントシステムの目的は、間違った事（いわゆる「不適合」）のすべての是正・予防を保証することです。したがって、ISO 27001では是正処置・予防処置を体系的に実施することを求めています。つまり、不適合の根本原因を特定して、解決・検証する必要があるということです。

この記事により、やるべきことがはっきりすれば幸いです。ISO 27001は簡単な作業ではありませんが、必ずしも複雑ではありません。 必要なのは、各手順を慎重に計画することだけです。そうすれば認証を取得できるのでご安心ください。

をクリックすれば、以上の全手順を示したISO 27001導入プロセスの図を、必要な文書と共にダウンロードすることができます。

経営陣から事業継続を導入する仕事を与えられたのに、どうしていいかよくわからないとおっしゃる。 これは簡単な仕事ではありませんが、BS 25999-2の方法論を援用することで楽になります。以下は、この規格を導入するために必要な主な手順です。

1. 経営陣の支援を得る

これはBS 25999-2の必須の手順ではありませんが、間違いなく最初の重要な手順です。経営陣が事業継続の利益を理解せず、プロジェクトに積極的に関与しなければ、そのプロジェクトはたぶん失敗するでしょう。

2. プロジェクトとして扱う

事業継続管理システム（BCMS）の立ち上げには、極めて多くの時間や経営資源が必要です。やるべき事、時間枠、プロジェクト実施時の役割などを、明確に定義する必要があります。言い換えれば、プロジェクト管理の方法論を適用する必要があります。

3. 目標および適用範囲を定義し、BCM方針を書く

コンプライアンス、リスクのレベルを下げること、顧客/パートナーの要件など、BCMSによって実現したい事を定義する必要があります。 また、BCMSの対象範囲、つまり、組織全体かその一部かも定義する必要があります。たとえば、顧客にホスティング・サービスを提供している場合、データセンタだけを対象に決めてもかまいません。これらはすべてBCM方針の中に文書化する必要があります。

4. BCMSにおける役割及び責任を定義する

BCMSは組織の永久的な活動になるので、特にBCMSの「スポンサー」、「BCMコーディネータ」、「BCM管理者」など、BCMSに関する積極的な任務を持つ一人か二人の人にはっきりとした責任を定義する必要があります。このような役割や責任は、文書化しておくに越したことはありません。

5. 必須の手順を実施する

BS 25999-2では、文書および記録の管理、内部監査、予防処置・是正処置という、必須とされる4手順を実施する必要があります。これらの手順は、 ISO 27001やISO 9001と同様、実際のマネジメントシステムの基盤となります。

6. 事業インパクト分析およびリスクアセスメントを実施する

事業インパクト分析では、重要な活動、最大許容停止時間、重要な活動同士の依存関係（供給者や外部委託パートナーとの依存関係を含む）を特定して、目標復旧時間を設定する必要があります。

リスクアセスメントを行うと、重要な活動の中断原因となりうるものを実際に発見できます。それは天災であることも、人災（悪意があるか偶発的かを問わす）であることもあります。また、リスク対応も行う必要があります。つまり、困った事態の可能性を減らす方法を判断する必要があります。残念なことに、この規格では、リスクアセスメントや対応はあまり明確に定義されていません。したがって、これらをより詳しく記述したISO 27001を参照した方がよいかもしれません。

7. 事業継続戦略を決定する

事業継続計画を書き始める前に、重要な活動を再開するために必要な人材・場所・データ・ハードウェア・ソフトウェア・供給者・外部委託パートナーなどの経営資源を実際に判断する必要があります。

事業継続戦略では、必要な経営資源だけでなく、その経営資源を提供する方法も決定する必要があります。

8. インシデント管理計画および事業継続計画を開発する

インシデント管理計画の目的は、インシデントの広がりを防いで、直接的な影響を抑えるために、インシデント（火災・地震・爆弾テロ・停電など）の発生に直接対応する方法を記述することです。

一方、事業継続計画の目的は、重要な活動を復旧する方法や、準備した経営資源を投入する方法を記述することです。つまり、組織の活動を再開するために、誰が、いつ、どのようなデータや技術を使い、何をするかを記述する必要があります。

このような計画はすべて、主な担当者がいない場合でも実行できなければならないので、それだけ詳しく記述する必要があります。つまり、誰か他の人でも実行できるように書く必要があります。

9. 訓練および意識向上

中断時の事業継続計画の実行に必要な能力のレベルを定義し、さらに、そのレベルに到達するまで全職員（従業員および外部パートナー）を訓練する必要があります。

ただし、これではまだ足りません。さらに、なぜBCMが必要かを職員に説明する必要があります。 現実を直視しましょう。事業継続計画はおそらく一生に一回しか使われることはないので、多くの人は時間の無駄としか思っていません。したがって、なぜそのような計画が存在する必要があるかを説明する必要があります。（「BCM懐疑論者に対処する方法」も参照 )

10. BCMSの演習

これで完璧な計画を書けたと思っているとしたら、おそらく間違っています。最初から誤りのない計画を書くことは、ほとんど不可能です。 BCMSで演習が必須になっているのは、そのためです。計画はおおよそ実際の中断に似た状況でテストする必要があります。 そうやって初めて、計画のいいところと悪いところがわかるのです。

11. BCMSの維持およびレビュー

BCMSが古くならないようにするもう一つの方法は、事業継続計画や他の準備（供給者や外部委託パートナーとの契約、訓練および意識向上など）をレビューする間隔を定義することです。 環境の中には、あなたの文書を陳腐化するような、あらゆる種類の変化があります。たとえば、BCMSで特定の役割を果たす人間が会社を去るだけで、計画の中の電話番号は使えなくなります。

インシデントが実際に発生した場合には、インシデント後のレビューを行うことも必須です。その目的は、組織が実際にどう対処したか、それが計画通りだったかを調べることです。

12. 内部監査

内部監査の目的は、不備がないかどうかを、客観的に調べることです。内部監査員は、BCMSに不備があるかどうかを調べて、是正できる人間である必要があります。内部監査は、正しく行われれば、BCMSを改善する最善の方法の一つです。( 「ISO 27001およびBS 25999-2内部監査員のジレンマ」を参照）

13. マネジメントレビュー

先に述べたように、経営陣をプロジェクトに参加させることは極めて重要です。そのために設計されたのが マネジメントレビューです。この規格では、経営陣がBCMに関連するあらゆる事実を調べて、目標が達成されたかどうかを判断する必要があります。マネジメントレビューが済んだら、経営陣はどのような改善を行うべきかを決める必要があります。

14. 予防処置および是正処置

間違い（BS 25999用語では「不適合」）は、起こる前に防ぐに越したことはありません。これこそが予防処置の目的です。つまり、問題が起こる前に是正するための体系的な方法です。予防処置と同様に、起こってしまった問題を解決する是正処置もあります。

では、BS 25999-2を使うのはなぜでしょうか。 BS 25999-2はまだ国際規格ではありませんが、全世界の事業継続規格の中で最も人気のある規格です。上述の手順は、最高の事業継続専門家によって設計されたものなので、事業継続のベスト・プラクティスを導入したい場合には、他を探す必要はありません。

をクリックすれば、以上の全手順を示したBS 25999-2導入プロセスの図を、必要な文書と共にダウンロードすることができます（登録が必要）。

ISO 27001の附属書Aは、おそらく、あらゆるマネジメント規格の中でもっともよく言及される附属書でしょう。なぜこの附属書がそんなに話題になるのでしょうか。なぜ時に議論の対象になるのでしょうか。

附属書Aを読んだことがあれば、133個のセキュリティ管理策が列挙されているのをご存知でしょう。では、規格本編は何に使われるのでしょうか。

目的

附属書Aには、以下のような箇条（ISO 27001附属書Aドメインと呼ばれることもあります）が含まれています。

• A.5 セキュリティ基本方針
• A.6 情報セキュリティのための組織
• A.7 資産の管理
• A.8 人的資源のセキュリティ
• A.9 物理的及び環境的セキュリティ
• A.10 通信及び運用管理
• A.11 アクセス制御
• A.12 情報システムの取得、開発及び保守
• A.13 情報セキュリティインシデントの管理
• A.14 事業継続管理
• A.15 順守

すでに言及したように、附属書Aには133個の管理策が含まれています。この管理策は、箇条の名前から分かるように、ITだけを対象としているわけではありません。物理的セキュリティ・法的保護・人事管理・組織的問題なども扱っています。

したがって、附属書Aは、対応プロセスの際に使われるセキュリティ方策のカタログと見なすことができます。附属書Aは、リスクアセスメントによる許容できないリスクの特定が済んだときに、そのリスクを減らすための適切な管理策を選ぶために役に立ちます。 そして、重要な管理策を見落とさないことを保証してくれます。

附属書Aは、 ISO 27001とISO 27002の接点です。ISO 27002の管理策には、ISO 27001の附属書Aの管理策と同じ名前がついています。違うのはその細かさです。ISO 27001に記載されているのは管理策の簡単な定義だけですが、ISO 27002には管理策を導入する方法に関する詳しいガイドラインが記載されています。

欠点

ここまで読んで、附属書Aを情報セキュリティ・プロジェクトの完全な導入ツールだと思った方も、楽観的になりすぎてはいけません。附属書Aには、おかしなところもあります。 たとえば、A.9.2.6（装置の安全な処分又は再利用）とA.10.7.2（媒体の処分）のように、ほとんど同じ問題を定義した管理策もあり、混乱を招くことがあります。 逆に、第三者との関係のような一部の問題は、附属書Aのいろんな箇条に散らばっており、箇条A.6.2（外部組織）、A.8（人的資源のセキュリティ）、A.10.2（第三者が提供するサービスの管理）、および、管理策A.12.5.5（外部委託によるソフトウェア開発）などに記載されています。このことが、附属書Aを導入ツールとして使うことを困難にすることもあります。

しかし、曖昧なのはこれだけではありません。附属書Aで方針や手順に言及しているのに、文書化を要求していない管理策もあります。 おかしいと思うかもしれませんが、規格で文書化を要求しているのは、「文書化」という言葉があるところだけです。 附属書全体を分析してみると、「文書化」という言葉に言及している管理策は6個（A.5.1.1、A.7.1.3、A.8.1.1、A.10.1.1、A.11.1.1、A.15.1.1）だけです。つまり、これ以外の管理策は文書化しなくても導入できるということです。

けれども、附属書Aのこの柔軟性を濫用すべきではありません。組織が大規模になるほど、セキュリティ手順が全員に認知されることを確実にするため、より多くの文書を作成する必要があります。 一方で、文書化しすぎないように注意する必要もあります。文書が多すぎれば、誰も順守しなくなりますから。

ISO 27001本編との関係

規格の本編、より正確に言えば必須箇条の4～8には、この規格のマネジメント部分が含まれています。ここでは、リスクアセスメントおよび対応、文書管理、記録管理、経営資源の提供、内部監査、マネジメントレビュー、是正処置・予防処置などを含む、PDCAサイクル（計画-実行-点検-処置フェーズ）を規定しています。

先に述べたように、リスクアセスメントおよび対応プロセスは、箇条4～8が附属書Aの管理策に最も関係するところです。この部分は、附属書Aの各管理策が、リスクを減らすために必要かどうかを決めるのに役立ちます。

つまり、箇条4～8と附属書Aは、それぞれ単独では成り立たないということです。リスクアセスメントはリスクを減らすための管理策がなければ無意味ですし、管理策の適用可能性を判定する唯一の方法はリスクアセスメントですから。

私の考えでは、このリスクの重視と、自分が適切だと考えるところにセキュリティ管理策を適用する柔軟性が、ISO 27001の最もよいところです。その恩恵を全面的に受けるためには、慎重になるしかありません。

—

また、弊社のウェビナーISO 27001 Foundations Part 3: Annex A overview（市販トレーニング）もご利用ください。

私は、多くの中小企業（従業員50人以下）が、ISO 27001導入プロジェクトの一環として、リスクアセスメント・ツールを利用しようとするところを見てきました。リスクアセスメント・ツールの利用は、一般に時間と金がかかり過ぎ、そのわりに効果がないというのが結論です。

そもそも、リスクアセスメントとは何であり、その目的は何なのでしょうか。リスクアセスメントとは、組織における情報セキュリティ・リスクの発生率や影響を特定するプロセスのことです。簡単に言えば、組織は情報に関するあらゆる潜在的な問題や、その発生率や、その影響を認識する必要があります。リスクアセスメントの目的は、リスクを減らすために必要な管理策を発見することです。管理策の選択はリスク対応プロセスと呼ばれています。ISO 27001では、付属書Aで指定された133の管理策から選択されます。

リスクアセスメントは、資産・ぜい弱性・脅威の特定と評価によって実現されます。 資産とは、ハードウェア、ソフトウェア、人材、インフラストラクチャ、（さまざまな形式や媒体の）データ、供給者、パートナーなど、組織にとって価値あるもののすべてです。 ぜい弱性とは、脅威によって利用される可能性のある資産・プロセス・管理策などの弱点のことです。脅威とは、システムや組織に損害を与える可能性のある要因のすべてです。ぜい弱性の例としては、アンチ・ウィルス・ソフトウェアの欠如があります。これに対応する脅威は、コンピュータ・ウィルスです。

これらを前提に考えると、組織が小さい場合には、実際にはリスクアセスメントを行うために高度なツールは必要ないことがわかります。必要なのは、Excelスプレッドシート、ぜい弱性・脅威のカタログ、および優れたリスクアセスメントの方法論だけです。 実際の主な仕事は、確率・影響を評価することであり、これはいかなるツールでも行えません。資産についての知識を持つ資産の所有者が考えなければならないことです。

では、そのカタログや方法論はどこから得られるのでしょうか。 コンサルタントのサービスを利用している場合には、コンサルタントが提供してくれるはずです。それ以外の場合にも、インターネット上で入手できる無料のカタログがあるので、Googleで検索するだけで済みます。方法論は無料では手に入りませんが、（リスクアセスメントおよび対応を詳しく記述した）ISO 27005規格や、方法論を販売している他のウェブサイトを利用することができます。これにかかる時間やお金は、リスクアセスメント・ツールを購入したり、その使い方を勉強したりするより、はるかに少なくてすみます。

優れた方法論には、資産・脅威・ぜい弱性を特定する方法、確率や影響を記録する表、リスクを計算したり受容できるリスクのレベルを定義したりする方法が含まれています。 カタログには、最低でも30個のぜい弱性と30個の脅威が含まれている必要があります。このそれぞれが数百個も含まれているカタログもありますが、中小企業にとってはおそらく多すぎるでしょう。

実際のプロセスはそれほど複雑ではありません。評価および対応の基本手順は、以下の通りです。

1. 方法論（カタログを含む）を定義・文書化して、組織内の全資産所有者に配布する
2. 資産所有者との面談の機会を設定し、その中で資産および関連するぜい弱性や脅威を特定してもらう。次の段階として、特定のリスクが発生した場合の、確率および影響の評価を依頼する
3. データを単一のスプレッドシートにまとめて、リスクを計算し、どのリスクが許容できないかを示す
4. 許容できないリスクごとに、ISO 27001の附属書Aから1つ以上の管理策を選択して、その管理策を導入した後の新しいリスクレベルを計算する

結論：リスクアセスメントおよび対応は、情報セキュリティ/ISO 27001の基盤ですが、必ずしも複雑ではありません。これらは簡単な方法で実行でき、実際に重要なのはあなたの常識です。

—

また、弊社のビデオ・チュートリアルHow to Implement Risk Treatment According to ISO 27001（市販ビデオ）もご利用ください。