ISO 27001 & BS 25999

あなたは、いつの間にかセキュリティ方針や手順を書く立場になっていたことはありませんか。 そんなことになっても、自分の書いた文書が引き出しの中で埃をかぶるような、ありがちな結果にはなりたくないですよね。そんなあなたの役に立ちそうな事があります。

これから私が紹介するステップは、さまざまなクライアントとの経験に基づいて私が設計したもので、大組織・小組織、公的組織・私的組織、営利組織・非営利組織など、いかなるクライアントにも該当します。 このステップは実際には、ISO 27001やBS 25999-2関連のものだけではなく、いかなる方針や手順にも適用できます。

1 要件を調べる

まず、さまざまな要件を慎重に調べる必要があります。文書化を要求するような規制はないか。クライアントとの契約はないか。組織内に既存の方針（社内標準）はないか。そしてもちろん、ISO 27001やBS 25999-2に準拠したいと思っている場合には、その要件はどうか。

2 リスクアセスメントの結果を考慮する

リスクアセスメントでは、文書の中で扱う問題だけでなく、その程度も判断します。たとえば、情報を機密度によって分類するか、する場合には、必要な機密度の数は2か3か4かなどを決める必要があります。

方針や手順が情報セキュリティや事業継続に関係しない場合には、このステップはこのような形をとらないこともあります。 けれども、リスクマネジメントの原則は、品質管理（ISO 9001）や環境管理（ISO 14001）など、他の分野にも同じように適用できます。 たとえばISO 9001では、品質管理にとって特定のプロセスがどの程度重要かを判断し、その判断にしたがって文書化するかどうかを決断する必要があります。

3 文書の構成を整理・最適化する

考慮しなくてはならないのは、文書の総数です。1ページの文書を10部書くか、それとも、10ページの文書の文書を1部書くか。どの文書も対象読者が同じなのであれば、1部だけの方がはるかに管理しやすいです。 （もっとも、100ページの文書を作るのはやめましょう。）

また、文書間の整合性にも注意する必要があります。ある文書で定義した問題が、すでに別の文書で部分的に定義されていることもあります。このような場合、必ずしも新しい文書を書く必要はなく、既存の文書を拡張するだけで済むかもしれません。

すでに他の文書で言及済みの問題を新しい文書に書く際には、冗長にならないようにしてください。 同じ事を記載した複数の文書を後で管理するのは悪夢です。同じ事を繰り返すのではなく、一方の文書からもう一方を参照するようにした方がよいでしょう。

4 文書の構成を決める

また、文書書式に関する会社のルールを注意深く遵守する必要があります。フォント・ヘッダ・フッタなどを定義したテンプレートがすでに存在することもあります。

すでにISO 27001やBS 25999-2（あるいは他のマネジメント規格）を導入済みである場合、文書管理手順を遵守する必要があります。この手順では、文書の書式だけでなく、文書の承認や配布のルールも定義しています。

5 文書を書く

経験則によれば、組織が小さいほどリスクも小さく、文書も簡単になります。 誰も読む気にならないような長い文書を書くほど無駄なことはありません。文書を読むには時間がかかり、人間の注意力は文書の行数に反比例するということを理解する必要があります。

このような他の従業員の抵抗（定期的にパスワードを変更しなければならない、というような変更が好きな人は誰もいません）を乗り越える妙手は、従業員自身を文書の作成やレビューに巻き込むことです。そうすれば、彼らはその必要性を理解してくれます。

6 文書の承認を得る

これはわかりきったステップですが、重要な意味があります。それは、社内で地位の高い管理者でなければ、文書を強制する権限がないということです。

それが、そのような地位にある者が文書を理解・承認し、その導入を積極的に求めなければならない理由です。 これは一見すると簡単そうですが、実際には簡単ではありません。導入時に最もつまづきやすいのは、このステップ（および次のステップ）なのです。

7 従業員の訓練および意識向上

このステップはおそらく最も重要なステップですが、残念ながら、非常に忘れられやすいステップでもあります。 先に述べたように、従業員は絶え間ない変更にうんざりしており、さらなる変更を歓迎することはありません。特に、それが仕事を増やすような変更ならなおさらです。

したがって、そのような方針や手順が必要な理由、会社全体だけでなく従業員個人のためにもなる理由を、従業員に説明することは極めて重要です。

また訓練が必要な場合もあります。新しい活動を実施するスキルを誰もが持っていると決め付けることは間違っています。文書を書いたあなた自身から見れば、簡単かつ自明な事かもしれませんが、従業員から見れば脳手術のように難しく見えることもあります。

これで終わり？

これで文書導入の話は終わりだと思ったら大間違い。あなたの旅はまだ始まったばかりです。誰もが気に入るような完璧な方針や手順を導入しただけではまだ不十分で、さらにそれを管理する必要があります。

誰かが絶えず文書を更新・改善しなければ、誰もそれを遵守しなくなるでしょう。そしてその「誰か」は大抵いつも同じ人、つまり文書を書いた人間です。 それだけではなく、そのような文書の目標が実現されたかどうかを誰かが測定する必要もあります。その「誰か」もおそらくあなたです。

この記事を読めば気づくかもしれませんが、方針や手順を成功させるには、優れたテンプレートがあるだけでは不十分です。必要なのは、それを導入するための包括的なアプローチです。その際に、忘れてはいけない重要な事があります。 それは、文書自体は目的ではないということです。文書は、活動やプロセスを円滑に実行することを可能にする道具に過ぎません。 逆に、そのような文書が活動やプロセスの実施をより困難にするというようなことがあってはならないのです。

—

また、弊社のビデオ・チュートリアル How to Write ISO 27001/ISO 22301 Document Control Procedure（市販ビデオ）もご利用ください。

あなたは、ISO 27001にはたくさんの手順が必要だと聞いたかもしれませんが、必ずしも正しくありません。 実際に規格が文書化を要求している手順は、文書の管理策の手順、内部ISMS監査の手順、是正処置の手順、予防処置の手順の4つだけです。 「文書化」という用語は、「その手順を確立し、文書化し、実施し、かつ、維持している」ことを意味します（ISO/IEC 27001、4.3.1注記1）。

注記： このブログポストでは、ISMS適用範囲、ISMS方針、リスクアセスメント方法論、リスクアセスメント報告、適用宣言書、リスク対応計画などの必須文書には言及しません。ここでは手順だけに重点を置きます。

文書管理策の手順（文書管理手順）では、文書の承認やレビューに責任を負う人、変更・改訂の状態を特定する方法、文書を配布する方法などを定義する必要があります。 言い換えれば、この手順は、組織の血液（文書の流れ）の働きを定義する必要があります。

内部監査の手順では、監査を計画・実施する責任、監査結果の報告方法、記録の管理方法を定義する必要があります。つまり、監査を実施する際の主なルールを設定する必要があるということです。

是正処置の手順では、不適合およびその原因を特定する方法、必要な処置を定義・実施する方法、記録すべき事、処置のレビューを行う方法などを定義する必要があります。 この手順の目的は、不適合が再度発生しないように各是正処置でその原因を取り除く方法を定義することです。

予防処置の手順は、是正処置の手順とほとんど同じです。両者の違いは、不適合がまず発生しないように原因から取り除くことを目標としているということです。この2つの手順は似ているので、1つにまとめられるのが普通です。

でも、ISO 27001では情報セキュリティに関係しない手順も文書化する必要があるのに、なぜセキュリティ手順は必須ではないのでしょうか。

その答えはリスクアセスメントです。ISO 27001ではリスクアセスメントを実施する必要があります。そして、このリスクアセスメントによって容認できないリスクが特定されたときには、そのリスクを低減するような附属書Aの管理策を実施することを求めています。 管理策には、技術的なもの（悪意のあるソフトウェア攻撃のリスクを減らすアンチ・ウィルス・ソフトウェアなど）もあれば、方針や手順の導入（バックアップ手順の導入など）のように組織的なものもあります。したがって、このような手順が必須になるのは、リスクアセスメントで許容できないリスクが特定された場合だけです。

でも、重要な注意事項が一つだけあります。文書化が義務付けられた4つの手順とは逆に、附属書Aの管理策の手順は、文書化する必要がありません。そのような手順を文書化すべきかどうかを考えるのは、組織側の責任です。

義務付けられた4手順は、（セキュリティの基本方針と共に）マネジメントシステムの柱と考えることができます。この柱を地面にしっかりと建てておけば、家の壁を建てることができます。 このことは、他のマネジメントシステムを見れば明らかです。同じ4手順が、ISO 9001（品質マネジメントシステム）や、ISO 14001（環境マネジメントシステム）や、BS 25999-2（事業継続管理システム）でも必須になっています。 したがって、これらの手順は、いわゆる「統合マネジメントシステム」を開発する際にも、異なるマネジメントシステム間の主な接点として利用できます。

—

また、弊社のビデオ・チュートリアルHow to Write ISO 27001/ISO 22301 Document Control Procedure（市販ビデオ）もご利用ください。

ISO 27001やBS 25999-2は、なぜ文書の管理を重視しているのでしょうか。 どちらの規格でも、文書の管理方法を極めて厳格に定義して、文書管理の手順を文書化することを組織に要求しています。そのような手順がない組織は残念ながら認証されません。

文書には、紙の文書、テキストやスプレッドシートのファイル、ビデオやオーディオのファイルなど、さまざまな形式があります。 組織は、内部文書（さまざまな方針・手順・プロジェクト文書など）だけではなく、外部文書（さまざまな種類の通信文・設備に付属する文書など）も管理する必要があります。言い換えれば、文書の管理は、極めて複雑かつ包括的な作業です。

では、文書の管理はなぜそれほど重要なのでしょう。 あなたは、重要な文書がどこにあるかわからないというような状況に陥ったことはありませんか。あるいは、従業員が間違った（古い）バージョンの手順を使っていることに気づいたことはありませんか。 あるいは、従業員が重要な手順をまったく受け取っていなかったことはありませんか。 あるいは、このような手順のバージョンがはっきりしなかったことはありませんか。あるいは、機密文書が相応しくない人に配布されたことはありませんか。 このような問題状況に陥ったことがない方も、おそらく、手順が最新でないというような状況は経験したことがあるでしょう。

文書を管理する体系的なアプローチのない人は、このような状況に陥るはずです。したがって、ISO 27001およびBS 25999-2では、文書管理の手順を文書化することにより、体系的なアプローチの導入を組織に要求しています。

この手順では、文書を承認するのは誰か、文書を配布・保管するのは誰か、文書の最新版を維持するのは誰か、使用するバージョン管理システムは何か、文書の変更を追跡する方法は何か、外部文書をどう処理するかなど、文書に対するさまざまな責任を明確に定義する必要があります。

このように文書管理は必須なので、認証審査員は、その手順を調べるだけでなく、あなたの文書が実際にあなたの文書管理手順で定義されたように管理されているかどうかも調べます。この手順を導入するということは、おそらく、文書処理のシステムを変更したり、文書をイントラネットに保存したり、より複雑な文書管理システムを導入したり、紙の文書用の書庫を整理したりする必要があるということです。

ISO 27001/BS 25999-2の導入を始めると、書面化の重要性がわかってきますが、それを管理下におくためには、書面化した文書を整理する必要があることもわかってきます。 文書はマネジメントシステムの血液です。健康なシステムを維持するために、よく手入れをしてください。

—

また、弊社のビデオ・チュートリアルHow to Write ISO 27001/ISO 22301 Document Control Procedure（市販ビデオ）もご利用ください。

あなたはすでにISO 9001を導入済みですね。そしてISO 27001がいいかもしれないという話を聞きましたね。でも、品質に関するISO 9001が情報セキュリティの導入に役立つのはどうしてでしょう。

それはあなたの想像以上に役立ちます。ISO 9001が品質マネジメントシステム（QMS）のあるべき姿を定めるのに対し、ISO/IEC 27001は情報セキュリティマネジメントシステム（ISMS）を定めます。 したがって「マネジメントシステム」の部分は同じです。でも、それは実際には何なのでしょうか。

マネジメントシステムの哲学は、20世紀後半にW・エドワーズ・デミングが考えた理論から発展したもので、計画-実行-点検-処置（PDCA）サイクルに基づいています。このサイクルは、基本的に次の要素から成り立っています。計画（Plan）フェーズでは、マネジメントシステムで実現したいものを計画し、実行（Do）フェーズでは、それを実施し、点検（Check）フェーズでは、計画が実現したかどうかを定期的に監視し、処置（Act）フェーズでは改善、つまり、計画したものと実際に実現したものとの間のギャップを埋めます。

このサイクルは品質管理を念頭に置いて発明されたものですが、情報セキュリティ（ISO/IEC 27001）、環境（ISO 14001）、事業継続（BS 25999-2）などの他のあらゆるマネジメントシステムの基盤として確立されました。 つまり、ISO 9001に準拠する品質マネジメントシステムに導入した要素の一部は、情報セキュリティマネジメントシステムでも利用できるということです。以下はそのような要素の一覧です。

• 文書管理 – QMSで文書管理に使った手順は、わずかな修正だけで、ISMSでも同じ目的に利用できます
• 内部監査 – QMSとISMSで同じ手順を利用できます。ただし、一人の人間が情報セキュリティと品質の両方に深い知識を持っていることは稀なので、通常、内部監査自体は別の人によって行われます。
• 是正処置・予防処置 – QMSで使った手順は、ISMSでも同じ目的に利用できます。ただし、関連する問題を解決するのは、QMSとISMSでは別の人間である場合が多いです。
• 人的資源の管理策 – どちらのマネジメントシステムでも、人的資源計画・訓練・評価には同じサイクルが使われます。相違点は通常、必要な技能や知識のプロファイルです。
• マネジメントレビュー – どちらのマネジメントシステムでも、マネジメントレビューの原則は同じです。両方のレビューを平行して行うことはお勧めできませんが、経営陣はQMSの意思決定を行うことに慣れているはずなので、ISMSの文脈で意思決定を行う方法もよりよく理解できるはずです
• 経営目的を設定して、その実現をチェックする – どちらの規格でも同じメカニズムが規定されているので、経営陣はそのような組織的な計画法に慣れているはずです。

したがって、ISO 9001をすでに導入済みであれば、ISO 27001の導入はより簡単な仕事になります（その逆もまた真なり）。そうすれば最高で3割の時間を節約できます。 また認証機関では、ISO 9001とISO 27001の審査をまとめて行い、別々に行うより少ない料金を請求するような、いわゆる「統合審査」を提供しているので、認証審査も安価になります。

QMSがうまく機能していれば、ISMSプロジェクトも順調に進展するはずです。経営陣は事業に対する潜在的な利益をよりよく理解するでしょうし、あらゆる組織単位は正確な手順・責任・文書を定義する必要性に慣れるでしょう。

QMSの存在は情報セキュリティに極めて優れた基盤を提供します。ISO 9001を導入済みなら、ISO 27001の導入を真剣に検討してみましょう。

—

また、弊社の無料ウェビナーISO 27001 implementation: How to make it easier using ISO 9001もご利用ください。