ISO 27001 & BS 25999

この質問は、私が普段見込み客から受ける最初の質問の内の一つです。 ご期待に沿えず恐縮ですが、私は正確な数字をすぐには教えません。その理由は以下の通りです。

第一に、導入の総コストは、組織の規模（もしくはISO 27001の適用範囲に含まれる事業部門の規模）、情報の重要度（たとえば、銀行の情報は重要なのでより高度な保護が必要だと考えられる）、組織で利用しているテクノロジー（たとえば、データセンターは複雑なシステムなのでよりコストが高くなる傾向がある）、法的要件（金融セクターや政府セクターの情報セキュリティは一般に強く規制される）などに依存するからです。

第二に、必要な保護の程度がわからないと、正確なコストを計算することはできません。まず必要なセキュリティ対策を知るため、リスクアセスメントを実行する必要があります。

リスクアセスメントの結果が明らかになったら、以下のようなコストを計算する必要があります。

1. 資料や訓練のコスト

ISO 27001を導入するには、組織の変革が必要であり、新しいスキルが必要です。 関連するさまざまな本を購入したり、講習（通学またはオンライン）を受けさせたりすることにより、従業員を変革に備えさせることができます。このような講習の期間は1～5日程度です（ISO 27001とBS 25999-2を学ぶ方法をご覧ください）。

ISO 27001標準自体を購入することも忘れないでください。標準を実際に読まずに導入している企業に出くわすことは珍しくありません。

2. 外部支援のコスト

残念ながら、従業員を訓練するだけでは十分ではありません。 ISO 27001導入の経験が豊富なプロジェクトマネージャがいない場合には、そのような知識を持つ誰かが必要です。コンサルタントを雇う方法もあれば、オンラインのサービスを利用する方法もあります（これが弊社が情報セキュリティおよび事業継続アカデミーで行っていることです）。

この種のプロジェクトにおいて経験者の支援を受けることの最大の意義は、実際には必要のない活動や標準では要求していない大量の文書の作成などに何ヶ月も費やすような袋小路を避けられることです。これは軽視できないコストです。

ただし、ここで注意すべきことがあります。コンサルタントが代わりに導入を全部やってくれると思ってはいけません。ISO 27001を導入できるのは従業員だけです。

3. テクノロジーのコスト

おかしいと思うかもしれませんが、私がお手伝いした会社のほとんどでは、ハードウェアやソフトウェアなどに大金を投資する必要はありませんでした。すでに全部あったからです。最大の課題は通常、既存のテクノロジーをより安全に活用するにはどうすればよいか、でした。

ただし必要だと判明した場合にはそのような投資を計画する必要があります。

4. 従業員の時間コスト

標準は放っておけば勝手に導入されるものでもなければ、コンサルタント（を雇った場合）だけで導入できるものでもありません。従業員は、リスクがどこにあるか、あるいは、既存の手順や方針を改善したり新しい手順や方針を導入するにはどうすればよいかを知るために、時間を費やす必要があります。新たな職務や新しいルールに適応するための訓練にも時間が必要です。

5. 認証のコスト

ISO 27001に準拠していることを公式に証明したい場合、認証機関が認証審査を行う必要があります。認証コストは、仕事にかかる人日によって決まり、中小企業で10人日以下、より大きな組織で数十人日程度です。1人日当たりのコストは、地域によって異なります。

ISO 27001プロジェクトの真のコストを過小評価しないように注意してください。さもないと、経営陣はプロジェクトを否定的に見るようになります。 その一方で、あらゆるコストを正確に予測することは、あなたのプロとしてのレベルを示すことになります。そして、常にコストとベネフィットの両方を提示することを忘れないでください。詳しくは「ISO 27001導入の主な4つの利点」を参照してください。

—

また、弊社のビデオ・チュートリアルHow to Set Up ISO 27001 Project – Writing the Project Plan（市販ビデオ）もご利用ください。

ISO 27001導入の第一段階が適用範囲の定義であることは、おそらくご存知でしょう。 ご存知ないのはおそらく、この手順は、一見単純ですが、さまざまな問題を引き起こす可能性があるということです。つまり、多くの会社では導入コストを削減するために適用範囲を狭めようとしますが、そのような適用範囲が頭痛の種になることは珍しくありません。

では問題はどこにあるのでしょうか。

ISO 27001の適用範囲が組織でない場合の問題は、情報セキュリティマネジメントシステム（ISMS）が「外の」世界との接点を持たねばならないということです。この文脈で言う「外の世界」には、クライアント・パートナー・供給者などだけでなく、組織内の適用範囲外の部門も含まれます。おかしいと感じるかもしれませんが、適用範囲外の部門は外部供給者と同じように扱う必要があります。

たとえば、適用範囲に選択したのがIT部門だけで、このIT部門が購買部のサービスを利用している場合、IT部門は購買部のリスクアセスメントを実行して、IT部門に責任のある情報にリスクがあるかどうかを特定する必要があります。さらに、この2部門は提供されるサービスの取引条件に署名する必要があります。

そのようなコストが必要なのはなぜでしょうか。 認証機関の立場で考えてください。認証機関は、あなたが適用範囲内の情報を安全に処理できることを認証する必要がありますが、適用範囲外の部門をチェックすることはできません。そのような状況を処理する唯一の方法は、そのような部門を外部の企業のように扱うことです。 （認証審査員は決して狭い適用範囲を好まないことに注意してください。）

問題はまだ終わりません。単に外の世界との接点がないだけのために、適用範囲を狭くできない場合もあります。 たとえば、適用範囲内と適用範囲外の従業員が同じ部屋の中に座っているような場合、そのような適用範囲はほとんど実現不可能です。適用範囲内外の従業員が同じローカル・ネットワークを（領域分割なしで）を利用していて、さまざまなネットワーク・サービスにアクセスしている場合、そのような適用範囲は確実に不可能です。そのような場合に、適用範囲内だけの情報の流れを管理する方法はありません。

要するに、ISMSの適用範囲を狭めることは、まったく不可能なこともあるし、多くの場合余計なコストが発生するということです。 したがって、当初は優れたソリューションに見えなかったものが、最終的には最適なソリューションであることがあります。適用範囲を組織全体にまで広げてみてください。 原則として、組織の従業員が数百人以下で、支社も数箇所程度である場合には、組織全体を適用範囲とするISMSが最適です。

逆に、実際に組織全体をISMSの適用範囲で覆うことができない場合には、十分に独立した組織単位を適用範囲に設定してみてください。そして「契約」として働く内部文書（方針・手順など）でサービスを決めることにより、適用範囲外の他の組織単位との関係を解決してみてください。そうすれば、そのような組織単位の責任を、日常業務で利用できるような方法で文書化することができるでしょう。

おめでとうございます。これでISO 27001導入の第一段階は解決しました。

—

また、弊社のビデオ・チュートリアルHow to Define and Document the ISMS Scope According to ISO 27001（市販ビデオ）もご利用ください。

さて、あなたはISO 27001の導入に長時間を費やし、さまざまな管理策の教育・コンサルティング・導入に大金を投資しました。 今度は認証機関から審査員がやってきまして。はたして認証に合格するでしょうか。

そのような心配は当然です。自分のISMS（情報セキュリティマネジメントシステム）が認証機関の要求をすべて満たしているかを知ることは決してできませんから。でも審査員は実際にどこを見るのでしょうか。

審査員はまず、「文書審査」と呼ばれる第一段階の審査を行います。審査員はこの審査で、文書化の範囲、ISMSの方針・目標、リスクアセスメント方法論の記述、リスクアセスメント報告、適用宣言書、リスク対応計画、文書管理・是正処置・予防処置および内部監査の手順を調べます。 また附属書Aの管理策の一部（適用宣言書の中で該当するとされている場合のみ）、つまり、資産目録（A.7.1.1）、資産利用の許容範囲（A.7.1.3）、従業員、建設業者、第三者の利用者の役割及び責任（A.8.1.1）、雇用条件（A.8.1.3）、情報処理設備の操作手順（A.10.1.1）、アクセス制御方針（A.11.1.1）、適用法令の識別（A.15.1.1）を文書化する必要があります。また内部監査やマネジメントレビューの記録が最低でも1部必要です。

以上の要素が1つでも欠けていると、第二段階の審査には進めません。 もちろん、必要だと思れば、これ以外の文書を準備することもできます。上記のリストは最低限のものです。

第二段階の審査は「実地審査」とも呼ばれており、通常、第一段階の審査の数週間後に行われます。 この審査の焦点は文書ではなく、文書やISO 27001の指示を組織が実際に実行しているかどうかです。 言い換えれば、審査員がチェックするのは、ISMSが実際に組織で実現されているか、それとも空手形に過ぎないのかということです。審査員はこれを、主に記録の検査や観察や従業員との面談を通じてチェックします。必須の記録としては、教育・訓練・技能・経験・資格（5.2.2）、内部監査(6)、マネジメントレビュー（7.1）、是正（8.2）・予防（8.3）措置などがあります。ただし審査員は、手順を実行した結果として作成された、他の記録も見たいと思っています。

ISMSの一部が審査だけのために作られた作り物であれば、経験豊かな審査員はそれに気づきます。気をつけてください。

あなたは以上のすべてを理解しましたね。それでもなお、審査員が大きな不適合を発見して、ISO 27001認証を発行できないと言うことがあります。これで万事休すでしょうか。

もちろん違います。 プロセスは次のように進みます。審査員は審査報告書に（主な不適合を含む）所見を記し、不適合を解決するまでの期限（通常は90日）を指定します。 あなたの仕事は適切な是正処置をとることです。ただし注意してください。この是正処置は不適合の原因を解決するものでなければなりません。さもないと審査員はそれを認めないことがあります。適切な処置を行ったと確信したら、それを審査員に通知して、自分のとった処置の証拠を送る必要があります。あなたが十分な仕事をしていれば、多くの場合、審査員はあなたの是正処置を認めて、認証発行プロセスを発動させます。

おめでとうごさいます。多少の時間はかかりましたが、これであなたは誇るべきISO/IEC 27001認証の取得者となりました。 （でも気をつけてください。認証の有効期間は3年間だけであり、認証機関が査察の際に大きな不適合を発見した場合には、有効期間内でも一時停止される可能性があります。）

—

また、ISO 27001導入の各段階を解説した、弊社のISO 27001ビデオ・チュートリアルのシリーズ（市販ビデオ）もご利用ください。