ISO 27001 & BS 25999

あなたがISO 27001の導入を始めた方は、おそらく導入を簡単にする方法を探しているでしょう。 がっかりさせるて申し訳ありませんが、簡単な方法はありません。 でも、作業を簡単にするお手伝いをさせてください。以下は、ISO 27001認証を取得したいときに、通過しなければならない16の手順の一覧です。

1. 経営陣の支援を得る

これは当たり前に思えるので、通常あまり真剣には受け取られません。 けれども私の経験では、経営陣がプロジェクトに十分な人材や資金を提供しないことこそが、ISO 27001プロジェクトが失敗する一番の原因なのです。（このような事態を経営陣に示す方法については「ISO 27001導入の主な4つの利点」を参照してください。）

2. プロジェクトとして扱う

ISO 27001導入は、すでに述べたように、さまざまな活動やたくさんの人々が関わり、数カ月（もしくは1年以上）の年月を費やす複雑な問題です。なすべき事・なすべき人・時間枠を明確に定義（つまりプロジェクト管理を適用）しなければ、仕事は永遠に終わりません。

3. 適用範囲を定義する

大規模な組織の場合には、おそらく、組織の一部でだけISO 27001を導入することにより、プロジェクト・リスクを低下させるのが賢明でしょう。（ISO 27001で適用範囲を定義する際の問題）

4. ISMSの基本方針を書く

ISMSの基本方針は、ISMSの中でも最も上位にある文書です。基本方針は細かすぎてはいけませんが、組織の情報セキュリティにおける基本的な問題の一部を定義する必要があります。そういう大雑把な方針の目的はなんでしょうか。それは、経営陣が実現したい事やそれを管理する方法を定義することです。 （情報セキュリティ基本方針-どの程度詳しくするべきか）

5. リスクアセスメントの方法論を定義する

リスクアセスメントは、ISO 27001プロジェクトの中でも最も複雑な仕事です。そのポイントは、資産・ぜい弱性・脅威・影響・確率を特定するためのルールを定義すること、および、許容できるリスクのレベルを定義することです。このルールをはっきり定義しておかないと、せっかく出た結果が使えない、というような状況に陥る可能性があります。（「中小企業におけるリスクアセスメントの要領」を参照）

6. リスクアセスメントやリスク対応を実施する

ここでは、前の段階で定義したものを実施する必要があります。大規模な組織ではこれに数ヶ月単位の時間がかかる可能性があるので、慎重に協力して努力する必要があります。 ポイントは、組織の情報に関する危険の全体像を得ることです。

リスク対応プロセスの目的は、許容できないリスクを減らすことです。これは通常、附属書Aの管理策の利用を計画することにより実現されます。

この手順では、リスクアセスメントおよびリスク対応プロセスの際に行われたあらゆる手順を記述した、リスクアセスメント報告を書く必要があります。 また、適用宣言書の一部または別個の文書として、残留リスクの承認を得る必要があります。

7. 適用宣言書を書く

リスク対応プロセスが済めば、附属書のどの管理策が必要なのかを正確に理解できているはずです（管理策は133個ありますが、おそらくこのすべてが必要ということはないでしょう）。この文書（しばしばSoAと呼ばれる）の目的は、全管理策を列挙して、該当するものとしないもの、その決断の理由、その管理策で実現したい目標、その管理策の実施方法の記述などを定義することです。

また、適用宣言書は、経営陣からISMS導入の承認を得る際に最も適した文書です。

8. リスク対応計画を書く

リスク関連文書はすべて済んだと思ったら、まだありました。リスク対応計画の目的は、SoAの管理策を導入する方法、担当する人、導入する時期、その予算などを厳密に定義することです。 この文書は実際の管理策を意識した導入計画なので、これなしでは、それ以上プロジェクトを先に進めることはできないでしょう。

9. 管理策の有効性を測定する方法を定義する

これも過小評価されがちな作業です。 ここでのポイントは、実行結果を測定できなければ、目標が達成されたかどうかを保証できない、ということです。したがって、ISMS全体および適用宣言書の該当する各管理策の両方に対して設定した目標の、達成を測定する方法を定義するようにしてください。

10. 管理策および必須の手順を実施する

これは「言うは易し行うは難し」です。ここでは、必須とされる4手順、および、附属書Aの該当する管理策を実施する必要があります。

これは通常、プロジェクトの中でも最も危険な仕事になります。なぜなら、これは通常、新しい技術の適用、とりわけ、組織への新しい活動の導入を意味するからです。 多くの場合、新しい方針や手順が必要（つまり変化が必要）であり、人間は変化に抵抗するのが普通です。これこそが、リスクを回避するために次の作業（訓練・意識向上）が重要な理由です。

11. 訓練および意識向上プログラムの実施

職員に新しい方針や手順を導入させたいときには、まずその必要性を説明し、それを期待通り実行できるように職員を訓練する必要があります。このような活動の欠如は、ISO 27001プロジェクト失敗の2番目に多い理由です。

12. ISMSを運営する

ここで、ISO 27001は組織の日常業務になります。 ここでのキーワードは「記録」です。 審査員は記録が大好きです。記録なければ、特定の活動が実際に行われたことを立証するのは極めて難しいという事に気づくでしょう。 でも、記録はまず自分自身の役にも立つはずです。記録を使えば、実際に起きている事を監視することができます。あなたは、従業員（および供給者）が作業を要求どおり実行しているかどうかを、確実に知ることができるでしょう。

13. ISMSを監視する

ISMSでは何が起きているでしょうか。 インシデントの発生回数や種類は。あらゆる手順が適切に実行されているでしょうか。

ここが、管理策と測定方法論の目標が一致するところであり、出た結果が設定した目標を達成しているかどうかを検査する必要があります。 達成できていなければ、何かが間違っているはずなので、是正処置や予防処置を実行する必要があります。

14. 内部監査

人間は、自分のしていることが間違っていることに気づかない（また気づいていても、他人には知られたくない）ことが珍しくありません。 けれども、既存の問題や潜在的な問題に気づかないと、組織に害を与える可能性があります。そのような事態を発見するには、内部監査を実施する必要があります。ここでのポイントは、懲戒処分ではなく、是正処置や予防処置をとることです。( 「ISO 27001およびBS 25999-2内部監査員のジレンマ」を参照）

15. マネジメントレビュー

経営陣は、ファイアウォールを直接設定する必要はありませんが、ISMSで起こっている事、つまり、全員が任務を遂行しているか、あるいは、ISMSが望ましい結果を実現しているかを知る必要があります。 経営陣はそれに基づいて、重要な意思決定を行う必要があります。

16. 是正処置および予防処置

マネジメントシステムの目的は、間違った事（いわゆる「不適合」）のすべての是正・予防を保証することです。したがって、ISO 27001では是正処置・予防処置を体系的に実施することを求めています。つまり、不適合の根本原因を特定して、解決・検証する必要があるということです。

この記事により、やるべきことがはっきりすれば幸いです。ISO 27001は簡単な作業ではありませんが、必ずしも複雑ではありません。 必要なのは、各手順を慎重に計画することだけです。そうすれば認証を取得できるのでご安心ください。

をクリックすれば、以上の全手順を示したISO 27001導入プロセスの図を、必要な文書と共にダウンロードすることができます。

経営陣から事業継続を導入する仕事を与えられたのに、どうしていいかよくわからないとおっしゃる。 これは簡単な仕事ではありませんが、BS 25999-2の方法論を援用することで楽になります。以下は、この規格を導入するために必要な主な手順です。

1. 経営陣の支援を得る

これはBS 25999-2の必須の手順ではありませんが、間違いなく最初の重要な手順です。経営陣が事業継続の利益を理解せず、プロジェクトに積極的に関与しなければ、そのプロジェクトはたぶん失敗するでしょう。

2. プロジェクトとして扱う

事業継続管理システム（BCMS）の立ち上げには、極めて多くの時間や経営資源が必要です。やるべき事、時間枠、プロジェクト実施時の役割などを、明確に定義する必要があります。言い換えれば、プロジェクト管理の方法論を適用する必要があります。

3. 目標および適用範囲を定義し、BCM方針を書く

コンプライアンス、リスクのレベルを下げること、顧客/パートナーの要件など、BCMSによって実現したい事を定義する必要があります。 また、BCMSの対象範囲、つまり、組織全体かその一部かも定義する必要があります。たとえば、顧客にホスティング・サービスを提供している場合、データセンタだけを対象に決めてもかまいません。これらはすべてBCM方針の中に文書化する必要があります。

4. BCMSにおける役割及び責任を定義する

BCMSは組織の永久的な活動になるので、特にBCMSの「スポンサー」、「BCMコーディネータ」、「BCM管理者」など、BCMSに関する積極的な任務を持つ一人か二人の人にはっきりとした責任を定義する必要があります。このような役割や責任は、文書化しておくに越したことはありません。

5. 必須の手順を実施する

BS 25999-2では、文書および記録の管理、内部監査、予防処置・是正処置という、必須とされる4手順を実施する必要があります。これらの手順は、 ISO 27001やISO 9001と同様、実際のマネジメントシステムの基盤となります。

6. 事業インパクト分析およびリスクアセスメントを実施する

事業インパクト分析では、重要な活動、最大許容停止時間、重要な活動同士の依存関係（供給者や外部委託パートナーとの依存関係を含む）を特定して、目標復旧時間を設定する必要があります。

リスクアセスメントを行うと、重要な活動の中断原因となりうるものを実際に発見できます。それは天災であることも、人災（悪意があるか偶発的かを問わす）であることもあります。また、リスク対応も行う必要があります。つまり、困った事態の可能性を減らす方法を判断する必要があります。残念なことに、この規格では、リスクアセスメントや対応はあまり明確に定義されていません。したがって、これらをより詳しく記述したISO 27001を参照した方がよいかもしれません。

7. 事業継続戦略を決定する

事業継続計画を書き始める前に、重要な活動を再開するために必要な人材・場所・データ・ハードウェア・ソフトウェア・供給者・外部委託パートナーなどの経営資源を実際に判断する必要があります。

事業継続戦略では、必要な経営資源だけでなく、その経営資源を提供する方法も決定する必要があります。

8. インシデント管理計画および事業継続計画を開発する

インシデント管理計画の目的は、インシデントの広がりを防いで、直接的な影響を抑えるために、インシデント（火災・地震・爆弾テロ・停電など）の発生に直接対応する方法を記述することです。

一方、事業継続計画の目的は、重要な活動を復旧する方法や、準備した経営資源を投入する方法を記述することです。つまり、組織の活動を再開するために、誰が、いつ、どのようなデータや技術を使い、何をするかを記述する必要があります。

このような計画はすべて、主な担当者がいない場合でも実行できなければならないので、それだけ詳しく記述する必要があります。つまり、誰か他の人でも実行できるように書く必要があります。

9. 訓練および意識向上

中断時の事業継続計画の実行に必要な能力のレベルを定義し、さらに、そのレベルに到達するまで全職員（従業員および外部パートナー）を訓練する必要があります。

ただし、これではまだ足りません。さらに、なぜBCMが必要かを職員に説明する必要があります。 現実を直視しましょう。事業継続計画はおそらく一生に一回しか使われることはないので、多くの人は時間の無駄としか思っていません。したがって、なぜそのような計画が存在する必要があるかを説明する必要があります。（「BCM懐疑論者に対処する方法」も参照 )

10. BCMSの演習

これで完璧な計画を書けたと思っているとしたら、おそらく間違っています。最初から誤りのない計画を書くことは、ほとんど不可能です。 BCMSで演習が必須になっているのは、そのためです。計画はおおよそ実際の中断に似た状況でテストする必要があります。 そうやって初めて、計画のいいところと悪いところがわかるのです。

11. BCMSの維持およびレビュー

BCMSが古くならないようにするもう一つの方法は、事業継続計画や他の準備（供給者や外部委託パートナーとの契約、訓練および意識向上など）をレビューする間隔を定義することです。 環境の中には、あなたの文書を陳腐化するような、あらゆる種類の変化があります。たとえば、BCMSで特定の役割を果たす人間が会社を去るだけで、計画の中の電話番号は使えなくなります。

インシデントが実際に発生した場合には、インシデント後のレビューを行うことも必須です。その目的は、組織が実際にどう対処したか、それが計画通りだったかを調べることです。

12. 内部監査

内部監査の目的は、不備がないかどうかを、客観的に調べることです。内部監査員は、BCMSに不備があるかどうかを調べて、是正できる人間である必要があります。内部監査は、正しく行われれば、BCMSを改善する最善の方法の一つです。( 「ISO 27001およびBS 25999-2内部監査員のジレンマ」を参照）

13. マネジメントレビュー

先に述べたように、経営陣をプロジェクトに参加させることは極めて重要です。そのために設計されたのが マネジメントレビューです。この規格では、経営陣がBCMに関連するあらゆる事実を調べて、目標が達成されたかどうかを判断する必要があります。マネジメントレビューが済んだら、経営陣はどのような改善を行うべきかを決める必要があります。

14. 予防処置および是正処置

間違い（BS 25999用語では「不適合」）は、起こる前に防ぐに越したことはありません。これこそが予防処置の目的です。つまり、問題が起こる前に是正するための体系的な方法です。予防処置と同様に、起こってしまった問題を解決する是正処置もあります。

では、BS 25999-2を使うのはなぜでしょうか。 BS 25999-2はまだ国際規格ではありませんが、全世界の事業継続規格の中で最も人気のある規格です。上述の手順は、最高の事業継続専門家によって設計されたものなので、事業継続のベスト・プラクティスを導入したい場合には、他を探す必要はありません。

をクリックすれば、以上の全手順を示したBS 25999-2導入プロセスの図を、必要な文書と共にダウンロードすることができます（登録が必要）。

あなたは、ISO 27001にはたくさんの手順が必要だと聞いたかもしれませんが、必ずしも正しくありません。 実際に規格が文書化を要求している手順は、文書の管理策の手順、内部ISMS監査の手順、是正処置の手順、予防処置の手順の4つだけです。 「文書化」という用語は、「その手順を確立し、文書化し、実施し、かつ、維持している」ことを意味します（ISO/IEC 27001、4.3.1注記1）。

注記： このブログポストでは、ISMS適用範囲、ISMS方針、リスクアセスメント方法論、リスクアセスメント報告、適用宣言書、リスク対応計画などの必須文書には言及しません。ここでは手順だけに重点を置きます。

文書管理策の手順（文書管理手順）では、文書の承認やレビューに責任を負う人、変更・改訂の状態を特定する方法、文書を配布する方法などを定義する必要があります。 言い換えれば、この手順は、組織の血液（文書の流れ）の働きを定義する必要があります。

内部監査の手順では、監査を計画・実施する責任、監査結果の報告方法、記録の管理方法を定義する必要があります。つまり、監査を実施する際の主なルールを設定する必要があるということです。

是正処置の手順では、不適合およびその原因を特定する方法、必要な処置を定義・実施する方法、記録すべき事、処置のレビューを行う方法などを定義する必要があります。 この手順の目的は、不適合が再度発生しないように各是正処置でその原因を取り除く方法を定義することです。

予防処置の手順は、是正処置の手順とほとんど同じです。両者の違いは、不適合がまず発生しないように原因から取り除くことを目標としているということです。この2つの手順は似ているので、1つにまとめられるのが普通です。

でも、ISO 27001では情報セキュリティに関係しない手順も文書化する必要があるのに、なぜセキュリティ手順は必須ではないのでしょうか。

その答えはリスクアセスメントです。ISO 27001ではリスクアセスメントを実施する必要があります。そして、このリスクアセスメントによって容認できないリスクが特定されたときには、そのリスクを低減するような附属書Aの管理策を実施することを求めています。 管理策には、技術的なもの（悪意のあるソフトウェア攻撃のリスクを減らすアンチ・ウィルス・ソフトウェアなど）もあれば、方針や手順の導入（バックアップ手順の導入など）のように組織的なものもあります。したがって、このような手順が必須になるのは、リスクアセスメントで許容できないリスクが特定された場合だけです。

でも、重要な注意事項が一つだけあります。文書化が義務付けられた4つの手順とは逆に、附属書Aの管理策の手順は、文書化する必要がありません。そのような手順を文書化すべきかどうかを考えるのは、組織側の責任です。

義務付けられた4手順は、（セキュリティの基本方針と共に）マネジメントシステムの柱と考えることができます。この柱を地面にしっかりと建てておけば、家の壁を建てることができます。 このことは、他のマネジメントシステムを見れば明らかです。同じ4手順が、ISO 9001（品質マネジメントシステム）や、ISO 14001（環境マネジメントシステム）や、BS 25999-2（事業継続管理システム）でも必須になっています。 したがって、これらの手順は、いわゆる「統合マネジメントシステム」を開発する際にも、異なるマネジメントシステム間の主な接点として利用できます。

—

また、弊社のビデオ・チュートリアルHow to Write ISO 27001/ISO 22301 Document Control Procedure（市販ビデオ）もご利用ください。

あなたはすでにISO 9001を導入済みですね。そしてISO 27001がいいかもしれないという話を聞きましたね。でも、品質に関するISO 9001が情報セキュリティの導入に役立つのはどうしてでしょう。

それはあなたの想像以上に役立ちます。ISO 9001が品質マネジメントシステム（QMS）のあるべき姿を定めるのに対し、ISO/IEC 27001は情報セキュリティマネジメントシステム（ISMS）を定めます。 したがって「マネジメントシステム」の部分は同じです。でも、それは実際には何なのでしょうか。

マネジメントシステムの哲学は、20世紀後半にW・エドワーズ・デミングが考えた理論から発展したもので、計画-実行-点検-処置（PDCA）サイクルに基づいています。このサイクルは、基本的に次の要素から成り立っています。計画（Plan）フェーズでは、マネジメントシステムで実現したいものを計画し、実行（Do）フェーズでは、それを実施し、点検（Check）フェーズでは、計画が実現したかどうかを定期的に監視し、処置（Act）フェーズでは改善、つまり、計画したものと実際に実現したものとの間のギャップを埋めます。

このサイクルは品質管理を念頭に置いて発明されたものですが、情報セキュリティ（ISO/IEC 27001）、環境（ISO 14001）、事業継続（BS 25999-2）などの他のあらゆるマネジメントシステムの基盤として確立されました。 つまり、ISO 9001に準拠する品質マネジメントシステムに導入した要素の一部は、情報セキュリティマネジメントシステムでも利用できるということです。以下はそのような要素の一覧です。

• 文書管理 – QMSで文書管理に使った手順は、わずかな修正だけで、ISMSでも同じ目的に利用できます
• 内部監査 – QMSとISMSで同じ手順を利用できます。ただし、一人の人間が情報セキュリティと品質の両方に深い知識を持っていることは稀なので、通常、内部監査自体は別の人によって行われます。
• 是正処置・予防処置 – QMSで使った手順は、ISMSでも同じ目的に利用できます。ただし、関連する問題を解決するのは、QMSとISMSでは別の人間である場合が多いです。
• 人的資源の管理策 – どちらのマネジメントシステムでも、人的資源計画・訓練・評価には同じサイクルが使われます。相違点は通常、必要な技能や知識のプロファイルです。
• マネジメントレビュー – どちらのマネジメントシステムでも、マネジメントレビューの原則は同じです。両方のレビューを平行して行うことはお勧めできませんが、経営陣はQMSの意思決定を行うことに慣れているはずなので、ISMSの文脈で意思決定を行う方法もよりよく理解できるはずです
• 経営目的を設定して、その実現をチェックする – どちらの規格でも同じメカニズムが規定されているので、経営陣はそのような組織的な計画法に慣れているはずです。

したがって、ISO 9001をすでに導入済みであれば、ISO 27001の導入はより簡単な仕事になります（その逆もまた真なり）。そうすれば最高で3割の時間を節約できます。 また認証機関では、ISO 9001とISO 27001の審査をまとめて行い、別々に行うより少ない料金を請求するような、いわゆる「統合審査」を提供しているので、認証審査も安価になります。

QMSがうまく機能していれば、ISMSプロジェクトも順調に進展するはずです。経営陣は事業に対する潜在的な利益をよりよく理解するでしょうし、あらゆる組織単位は正確な手順・責任・文書を定義する必要性に慣れるでしょう。

QMSの存在は情報セキュリティに極めて優れた基盤を提供します。ISO 9001を導入済みなら、ISO 27001の導入を真剣に検討してみましょう。

—

また、弊社の無料ウェビナーISO 27001 implementation: How to make it easier using ISO 9001もご利用ください。