ISO 27001 & BS 25999

あなたは、いつの間にかセキュリティ方針や手順を書く立場になっていたことはありませんか。 そんなことになっても、自分の書いた文書が引き出しの中で埃をかぶるような、ありがちな結果にはなりたくないですよね。そんなあなたの役に立ちそうな事があります。

これから私が紹介するステップは、さまざまなクライアントとの経験に基づいて私が設計したもので、大組織・小組織、公的組織・私的組織、営利組織・非営利組織など、いかなるクライアントにも該当します。 このステップは実際には、ISO 27001やBS 25999-2関連のものだけではなく、いかなる方針や手順にも適用できます。

1 要件を調べる

まず、さまざまな要件を慎重に調べる必要があります。文書化を要求するような規制はないか。クライアントとの契約はないか。組織内に既存の方針（社内標準）はないか。そしてもちろん、ISO 27001やBS 25999-2に準拠したいと思っている場合には、その要件はどうか。

2 リスクアセスメントの結果を考慮する

リスクアセスメントでは、文書の中で扱う問題だけでなく、その程度も判断します。たとえば、情報を機密度によって分類するか、する場合には、必要な機密度の数は2か3か4かなどを決める必要があります。

方針や手順が情報セキュリティや事業継続に関係しない場合には、このステップはこのような形をとらないこともあります。 けれども、リスクマネジメントの原則は、品質管理（ISO 9001）や環境管理（ISO 14001）など、他の分野にも同じように適用できます。 たとえばISO 9001では、品質管理にとって特定のプロセスがどの程度重要かを判断し、その判断にしたがって文書化するかどうかを決断する必要があります。

3 文書の構成を整理・最適化する

考慮しなくてはならないのは、文書の総数です。1ページの文書を10部書くか、それとも、10ページの文書の文書を1部書くか。どの文書も対象読者が同じなのであれば、1部だけの方がはるかに管理しやすいです。 （もっとも、100ページの文書を作るのはやめましょう。）

また、文書間の整合性にも注意する必要があります。ある文書で定義した問題が、すでに別の文書で部分的に定義されていることもあります。このような場合、必ずしも新しい文書を書く必要はなく、既存の文書を拡張するだけで済むかもしれません。

すでに他の文書で言及済みの問題を新しい文書に書く際には、冗長にならないようにしてください。 同じ事を記載した複数の文書を後で管理するのは悪夢です。同じ事を繰り返すのではなく、一方の文書からもう一方を参照するようにした方がよいでしょう。

4 文書の構成を決める

また、文書書式に関する会社のルールを注意深く遵守する必要があります。フォント・ヘッダ・フッタなどを定義したテンプレートがすでに存在することもあります。

すでにISO 27001やBS 25999-2（あるいは他のマネジメント規格）を導入済みである場合、文書管理手順を遵守する必要があります。この手順では、文書の書式だけでなく、文書の承認や配布のルールも定義しています。

5 文書を書く

経験則によれば、組織が小さいほどリスクも小さく、文書も簡単になります。 誰も読む気にならないような長い文書を書くほど無駄なことはありません。文書を読むには時間がかかり、人間の注意力は文書の行数に反比例するということを理解する必要があります。

このような他の従業員の抵抗（定期的にパスワードを変更しなければならない、というような変更が好きな人は誰もいません）を乗り越える妙手は、従業員自身を文書の作成やレビューに巻き込むことです。そうすれば、彼らはその必要性を理解してくれます。

6 文書の承認を得る

これはわかりきったステップですが、重要な意味があります。それは、社内で地位の高い管理者でなければ、文書を強制する権限がないということです。

それが、そのような地位にある者が文書を理解・承認し、その導入を積極的に求めなければならない理由です。 これは一見すると簡単そうですが、実際には簡単ではありません。導入時に最もつまづきやすいのは、このステップ（および次のステップ）なのです。

7 従業員の訓練および意識向上

このステップはおそらく最も重要なステップですが、残念ながら、非常に忘れられやすいステップでもあります。 先に述べたように、従業員は絶え間ない変更にうんざりしており、さらなる変更を歓迎することはありません。特に、それが仕事を増やすような変更ならなおさらです。

したがって、そのような方針や手順が必要な理由、会社全体だけでなく従業員個人のためにもなる理由を、従業員に説明することは極めて重要です。

また訓練が必要な場合もあります。新しい活動を実施するスキルを誰もが持っていると決め付けることは間違っています。文書を書いたあなた自身から見れば、簡単かつ自明な事かもしれませんが、従業員から見れば脳手術のように難しく見えることもあります。

これで終わり？

これで文書導入の話は終わりだと思ったら大間違い。あなたの旅はまだ始まったばかりです。誰もが気に入るような完璧な方針や手順を導入しただけではまだ不十分で、さらにそれを管理する必要があります。

誰かが絶えず文書を更新・改善しなければ、誰もそれを遵守しなくなるでしょう。そしてその「誰か」は大抵いつも同じ人、つまり文書を書いた人間です。 それだけではなく、そのような文書の目標が実現されたかどうかを誰かが測定する必要もあります。その「誰か」もおそらくあなたです。

この記事を読めば気づくかもしれませんが、方針や手順を成功させるには、優れたテンプレートがあるだけでは不十分です。必要なのは、それを導入するための包括的なアプローチです。その際に、忘れてはいけない重要な事があります。 それは、文書自体は目的ではないということです。文書は、活動やプロセスを円滑に実行することを可能にする道具に過ぎません。 逆に、そのような文書が活動やプロセスの実施をより困難にするというようなことがあってはならないのです。

—

また、弊社のビデオ・チュートリアル How to Write ISO 27001/ISO 22301 Document Control Procedure（市販ビデオ）もご利用ください。

あなたがISO 27001の導入を始めた方は、おそらく導入を簡単にする方法を探しているでしょう。 がっかりさせるて申し訳ありませんが、簡単な方法はありません。 でも、作業を簡単にするお手伝いをさせてください。以下は、ISO 27001認証を取得したいときに、通過しなければならない16の手順の一覧です。

1. 経営陣の支援を得る

これは当たり前に思えるので、通常あまり真剣には受け取られません。 けれども私の経験では、経営陣がプロジェクトに十分な人材や資金を提供しないことこそが、ISO 27001プロジェクトが失敗する一番の原因なのです。（このような事態を経営陣に示す方法については「ISO 27001導入の主な4つの利点」を参照してください。）

2. プロジェクトとして扱う

ISO 27001導入は、すでに述べたように、さまざまな活動やたくさんの人々が関わり、数カ月（もしくは1年以上）の年月を費やす複雑な問題です。なすべき事・なすべき人・時間枠を明確に定義（つまりプロジェクト管理を適用）しなければ、仕事は永遠に終わりません。

3. 適用範囲を定義する

大規模な組織の場合には、おそらく、組織の一部でだけISO 27001を導入することにより、プロジェクト・リスクを低下させるのが賢明でしょう。（ISO 27001で適用範囲を定義する際の問題）

4. ISMSの基本方針を書く

ISMSの基本方針は、ISMSの中でも最も上位にある文書です。基本方針は細かすぎてはいけませんが、組織の情報セキュリティにおける基本的な問題の一部を定義する必要があります。そういう大雑把な方針の目的はなんでしょうか。それは、経営陣が実現したい事やそれを管理する方法を定義することです。 （情報セキュリティ基本方針-どの程度詳しくするべきか）

5. リスクアセスメントの方法論を定義する

リスクアセスメントは、ISO 27001プロジェクトの中でも最も複雑な仕事です。そのポイントは、資産・ぜい弱性・脅威・影響・確率を特定するためのルールを定義すること、および、許容できるリスクのレベルを定義することです。このルールをはっきり定義しておかないと、せっかく出た結果が使えない、というような状況に陥る可能性があります。（「中小企業におけるリスクアセスメントの要領」を参照）

6. リスクアセスメントやリスク対応を実施する

ここでは、前の段階で定義したものを実施する必要があります。大規模な組織ではこれに数ヶ月単位の時間がかかる可能性があるので、慎重に協力して努力する必要があります。 ポイントは、組織の情報に関する危険の全体像を得ることです。

リスク対応プロセスの目的は、許容できないリスクを減らすことです。これは通常、附属書Aの管理策の利用を計画することにより実現されます。

この手順では、リスクアセスメントおよびリスク対応プロセスの際に行われたあらゆる手順を記述した、リスクアセスメント報告を書く必要があります。 また、適用宣言書の一部または別個の文書として、残留リスクの承認を得る必要があります。

7. 適用宣言書を書く

リスク対応プロセスが済めば、附属書のどの管理策が必要なのかを正確に理解できているはずです（管理策は133個ありますが、おそらくこのすべてが必要ということはないでしょう）。この文書（しばしばSoAと呼ばれる）の目的は、全管理策を列挙して、該当するものとしないもの、その決断の理由、その管理策で実現したい目標、その管理策の実施方法の記述などを定義することです。

また、適用宣言書は、経営陣からISMS導入の承認を得る際に最も適した文書です。

8. リスク対応計画を書く

リスク関連文書はすべて済んだと思ったら、まだありました。リスク対応計画の目的は、SoAの管理策を導入する方法、担当する人、導入する時期、その予算などを厳密に定義することです。 この文書は実際の管理策を意識した導入計画なので、これなしでは、それ以上プロジェクトを先に進めることはできないでしょう。

9. 管理策の有効性を測定する方法を定義する

これも過小評価されがちな作業です。 ここでのポイントは、実行結果を測定できなければ、目標が達成されたかどうかを保証できない、ということです。したがって、ISMS全体および適用宣言書の該当する各管理策の両方に対して設定した目標の、達成を測定する方法を定義するようにしてください。

10. 管理策および必須の手順を実施する

これは「言うは易し行うは難し」です。ここでは、必須とされる4手順、および、附属書Aの該当する管理策を実施する必要があります。

これは通常、プロジェクトの中でも最も危険な仕事になります。なぜなら、これは通常、新しい技術の適用、とりわけ、組織への新しい活動の導入を意味するからです。 多くの場合、新しい方針や手順が必要（つまり変化が必要）であり、人間は変化に抵抗するのが普通です。これこそが、リスクを回避するために次の作業（訓練・意識向上）が重要な理由です。

11. 訓練および意識向上プログラムの実施

職員に新しい方針や手順を導入させたいときには、まずその必要性を説明し、それを期待通り実行できるように職員を訓練する必要があります。このような活動の欠如は、ISO 27001プロジェクト失敗の2番目に多い理由です。

12. ISMSを運営する

ここで、ISO 27001は組織の日常業務になります。 ここでのキーワードは「記録」です。 審査員は記録が大好きです。記録なければ、特定の活動が実際に行われたことを立証するのは極めて難しいという事に気づくでしょう。 でも、記録はまず自分自身の役にも立つはずです。記録を使えば、実際に起きている事を監視することができます。あなたは、従業員（および供給者）が作業を要求どおり実行しているかどうかを、確実に知ることができるでしょう。

13. ISMSを監視する

ISMSでは何が起きているでしょうか。 インシデントの発生回数や種類は。あらゆる手順が適切に実行されているでしょうか。

ここが、管理策と測定方法論の目標が一致するところであり、出た結果が設定した目標を達成しているかどうかを検査する必要があります。 達成できていなければ、何かが間違っているはずなので、是正処置や予防処置を実行する必要があります。

14. 内部監査

人間は、自分のしていることが間違っていることに気づかない（また気づいていても、他人には知られたくない）ことが珍しくありません。 けれども、既存の問題や潜在的な問題に気づかないと、組織に害を与える可能性があります。そのような事態を発見するには、内部監査を実施する必要があります。ここでのポイントは、懲戒処分ではなく、是正処置や予防処置をとることです。( 「ISO 27001およびBS 25999-2内部監査員のジレンマ」を参照）

15. マネジメントレビュー

経営陣は、ファイアウォールを直接設定する必要はありませんが、ISMSで起こっている事、つまり、全員が任務を遂行しているか、あるいは、ISMSが望ましい結果を実現しているかを知る必要があります。 経営陣はそれに基づいて、重要な意思決定を行う必要があります。

16. 是正処置および予防処置

マネジメントシステムの目的は、間違った事（いわゆる「不適合」）のすべての是正・予防を保証することです。したがって、ISO 27001では是正処置・予防処置を体系的に実施することを求めています。つまり、不適合の根本原因を特定して、解決・検証する必要があるということです。

この記事により、やるべきことがはっきりすれば幸いです。ISO 27001は簡単な作業ではありませんが、必ずしも複雑ではありません。 必要なのは、各手順を慎重に計画することだけです。そうすれば認証を取得できるのでご安心ください。

をクリックすれば、以上の全手順を示したISO 27001導入プロセスの図を、必要な文書と共にダウンロードすることができます。

私は、情報セキュリティ基本方針を詳しく書こうとして、戦略目標からパスワードの文字数まであらゆることを網羅しようとするところを、たびたび見てきました。 そのような基本方針の唯一の問題点は、それが50ページ以上にもなるということ、そして、そんなものを真面目に読もうとする人は誰もいないということです。そのような基本方針は通常、審査員を満足させるだけのための作り物の文書としてしか役立ちません。

でも、そのような基本方針を実施するのが極めて難しいのはなぜでしょう。 それは、そのような基本方針は野心的過ぎるからです。網羅しようとする問題が多すぎ、対象とする人々の範囲が広すぎるからです。

代表的な情報セキュリティ規格であるISO 27001で、さまざまなレベルの情報セキュリティ基本方針を定義しているのはそのためです。

• 高レベルの方針（情報セキュリティマネジメントシステムの基本方針など) – このような高レベルの基本方針では、通常、戦略的な意図や目標を定義します。
• 詳細な方針 – このような方針では通常、選ばれた領域の情報セキュリティの厳密な責任などをより詳しく記述します。

ISO 27001では、情報セキュリティマネジメントシステム（ISMS）の基本方針に対し、最高レベルの文書として、目標を設定し、さまざまな要件や義務を考慮に入れ、組織の戦略的なリスクマネジメントの文脈に合わせて、リスク評価基準を確立するためのフレームワークであることを求めています。 そのような基本方針の主な目的は、首脳部がISMSを管理できることなので、極めて短いもの（1、2ページ）である必要があります。

一方、詳細な方針は、運用時の利用を目的とすべきであり、より狭い範囲のセキュリティ活動に焦点を合わせるべきです。 そのような方針の例としては、分類方針、情報資産の許容できる利用方針、バックアップ方針、アクセス制御方針、パスワード方針、クリアデスク・クリアスクリーン方針、ネットワーク・サービスの利用についての方針、モバイル・コンピューティングの方針、暗号による管理策の利用方針などがあります。 その管理策が適用可能か、あるいは、どこまで適用可能かの決定は、リスクアセスメントの結果に依存するので、ISO 27001では、このような方針の導入や文書化を要求していません。ご注意ください。

そのような方針はより詳しく記述する必要があるので、通常はさらに長くなり、最高で10ページ程度になります。これより大幅に長い方針を導入・維持することは極めて難しくなります。

つまり、情報セキュリティは単一の方針の中で定義するには複雑すぎる問題なのです。ISMSの異なる側面や「対象グループ」に対しては、異なる方針を定義すべきです。中規模の組織では通常、ISMSに最高で15個もの方針を定義します。

そんな数の方針は、企業にとって負担にしかならないと言う人もいるでしょう。 認証審査のことしか考えずに書かれた方針は、官僚主義をもたらすだけだということには私も同意します。 けれども、リスクを減らす意図で書かれた方針は、すぐにではなくても、おそらく2、3年のうちにはインシデントの数を減らし、その価値が明らかになることでしょう。

—

また、弊社のビデオ・チュートリアルHow to Write the ISMS Policy According to ISO 27001（市販ビデオ）もご利用ください。