ISO 27001 & BS 25999

適用宣言書（SoAとも呼ばれる）の重要性は、一般に通常過小評価されています。適用宣言書は、ISO 9001における品質マニュアルの様に、情報セキュリティの大部分の実施方法を定義し中心的な役割を果たす文書です。

実際、適用宣言書はリスクアセスメントやリスク対応を情報セキュリティの実施に結びつける主な接点となります。その目的は、ISO 27001附属書Aで提案されている133の管理策（セキュリティ対策）のどれを適用するか、そして、適用可能な管理策をどのように実施するかを指定することです。

適用宣言書はなぜ必要か

すでにリスクアセスメント報告（これも必須）を作成済みで、その中にも必要な管理策は指定されているのに、適用宣言書のような文書が必要なのはなぜでしょうか。その理由は以下の通りです。

• まず第一に、リスク対応時に特定する管理策は、リスクを減らすために必要な管理策です。けれども、適用宣言書の中で特定する管理策には、法律、契約上の要求事項、他のプロセスの都合など、それ以外の理由で必要なものもあります。
• 第二に、リスクアセスメント報告は非常に長くなることがあります。組織によっては特定されるリスクの数は数千個（あるいはそれ以上）にもなる可能性があるので、そのような文書は実際の日常業務にはあまり役立ちません。それに対し、適用宣言書はより短くてすみます。適用宣言書は133行（1行が1個の管理策を表現）しかないので、経営陣に提示することも最新の状態を維持することも可能です。
• 第三に、これが最も重要ですが、適用宣言書には適用可能な管理策が導入済みかどうかを記載する必要があります。 例えば、文書（方針/手順/作業指示書など）を参照したり、使用する手順や装置を説明したりして、適用可能な各管理策の実施方法も記述するのがベスト・プラクティスです（監査員の多くもこれに注目します）。

実際、ISO 27001認証を取得する際には、認証審査員は適用宣言書を見ながら社内を歩き回って、適用宣言書に記述された通りに管理策が実施されているかどうかをチェックします。したがって、適用宣言書は現地監査を行う際に中心的な役割を果たす文書です。

質の高い適用宣言書を書くと文書の数を減らせることに気付いている会社はごくわずかです。たとえば、文書化したい管理策があって、その管理策の手順の説明がそれほど長くない場合には、適用宣言書に記載することができます。そうすれば、他の文書を書くことを避けられるでしょう。

適用宣言書はなんの役に立つか

私の経験では、ISO 27001に従って情報セキュリティマネジメントシステムを導入している会社の多くは、適用宣言書の記載に予想以上の時間を費やしています。なぜかというと、新しい装置を購入するか、手順を変変更するか、新しい従業員を雇うか、など、管理策の実施方法を考える必要があるからです。これは極めて重要な（そしてしばしばコストのかかる）決断なので、それに時間がかかることは驚くにはあたりません。適用宣言書のよいところは、体系的に仕事を行うことを組織に強制することです。

したがって、この文書を実用性のない形式的な書類の一つと考えるべきではありません。適用宣言書は、情報セキュリティでやりたいことを定義する基本的な宣言書であると考えてください。適切に書かれた適用宣言書は、情報セキュリティに関して、何を、何故、どのように行う必要があるのかを示す完全な見取り図となります。

適用宣言書の無料のテンプレートをダウンロードするには、ここをクリックしてください。

あなたがISO 27001の導入を始めた方は、おそらく導入を簡単にする方法を探しているでしょう。 がっかりさせるて申し訳ありませんが、簡単な方法はありません。 でも、作業を簡単にするお手伝いをさせてください。以下は、ISO 27001認証を取得したいときに、通過しなければならない16の手順の一覧です。

1. 経営陣の支援を得る

これは当たり前に思えるので、通常あまり真剣には受け取られません。 けれども私の経験では、経営陣がプロジェクトに十分な人材や資金を提供しないことこそが、ISO 27001プロジェクトが失敗する一番の原因なのです。（このような事態を経営陣に示す方法については「ISO 27001導入の主な4つの利点」を参照してください。）

2. プロジェクトとして扱う

ISO 27001導入は、すでに述べたように、さまざまな活動やたくさんの人々が関わり、数カ月（もしくは1年以上）の年月を費やす複雑な問題です。なすべき事・なすべき人・時間枠を明確に定義（つまりプロジェクト管理を適用）しなければ、仕事は永遠に終わりません。

3. 適用範囲を定義する

大規模な組織の場合には、おそらく、組織の一部でだけISO 27001を導入することにより、プロジェクト・リスクを低下させるのが賢明でしょう。（ISO 27001で適用範囲を定義する際の問題）

4. ISMSの基本方針を書く

ISMSの基本方針は、ISMSの中でも最も上位にある文書です。基本方針は細かすぎてはいけませんが、組織の情報セキュリティにおける基本的な問題の一部を定義する必要があります。そういう大雑把な方針の目的はなんでしょうか。それは、経営陣が実現したい事やそれを管理する方法を定義することです。 （情報セキュリティ基本方針-どの程度詳しくするべきか）

5. リスクアセスメントの方法論を定義する

リスクアセスメントは、ISO 27001プロジェクトの中でも最も複雑な仕事です。そのポイントは、資産・ぜい弱性・脅威・影響・確率を特定するためのルールを定義すること、および、許容できるリスクのレベルを定義することです。このルールをはっきり定義しておかないと、せっかく出た結果が使えない、というような状況に陥る可能性があります。（「中小企業におけるリスクアセスメントの要領」を参照）

6. リスクアセスメントやリスク対応を実施する

ここでは、前の段階で定義したものを実施する必要があります。大規模な組織ではこれに数ヶ月単位の時間がかかる可能性があるので、慎重に協力して努力する必要があります。 ポイントは、組織の情報に関する危険の全体像を得ることです。

リスク対応プロセスの目的は、許容できないリスクを減らすことです。これは通常、附属書Aの管理策の利用を計画することにより実現されます。

この手順では、リスクアセスメントおよびリスク対応プロセスの際に行われたあらゆる手順を記述した、リスクアセスメント報告を書く必要があります。 また、適用宣言書の一部または別個の文書として、残留リスクの承認を得る必要があります。

7. 適用宣言書を書く

リスク対応プロセスが済めば、附属書のどの管理策が必要なのかを正確に理解できているはずです（管理策は133個ありますが、おそらくこのすべてが必要ということはないでしょう）。この文書（しばしばSoAと呼ばれる）の目的は、全管理策を列挙して、該当するものとしないもの、その決断の理由、その管理策で実現したい目標、その管理策の実施方法の記述などを定義することです。

また、適用宣言書は、経営陣からISMS導入の承認を得る際に最も適した文書です。

8. リスク対応計画を書く

リスク関連文書はすべて済んだと思ったら、まだありました。リスク対応計画の目的は、SoAの管理策を導入する方法、担当する人、導入する時期、その予算などを厳密に定義することです。 この文書は実際の管理策を意識した導入計画なので、これなしでは、それ以上プロジェクトを先に進めることはできないでしょう。

9. 管理策の有効性を測定する方法を定義する

これも過小評価されがちな作業です。 ここでのポイントは、実行結果を測定できなければ、目標が達成されたかどうかを保証できない、ということです。したがって、ISMS全体および適用宣言書の該当する各管理策の両方に対して設定した目標の、達成を測定する方法を定義するようにしてください。

10. 管理策および必須の手順を実施する

これは「言うは易し行うは難し」です。ここでは、必須とされる4手順、および、附属書Aの該当する管理策を実施する必要があります。

これは通常、プロジェクトの中でも最も危険な仕事になります。なぜなら、これは通常、新しい技術の適用、とりわけ、組織への新しい活動の導入を意味するからです。 多くの場合、新しい方針や手順が必要（つまり変化が必要）であり、人間は変化に抵抗するのが普通です。これこそが、リスクを回避するために次の作業（訓練・意識向上）が重要な理由です。

11. 訓練および意識向上プログラムの実施

職員に新しい方針や手順を導入させたいときには、まずその必要性を説明し、それを期待通り実行できるように職員を訓練する必要があります。このような活動の欠如は、ISO 27001プロジェクト失敗の2番目に多い理由です。

12. ISMSを運営する

ここで、ISO 27001は組織の日常業務になります。 ここでのキーワードは「記録」です。 審査員は記録が大好きです。記録なければ、特定の活動が実際に行われたことを立証するのは極めて難しいという事に気づくでしょう。 でも、記録はまず自分自身の役にも立つはずです。記録を使えば、実際に起きている事を監視することができます。あなたは、従業員（および供給者）が作業を要求どおり実行しているかどうかを、確実に知ることができるでしょう。

13. ISMSを監視する

ISMSでは何が起きているでしょうか。 インシデントの発生回数や種類は。あらゆる手順が適切に実行されているでしょうか。

ここが、管理策と測定方法論の目標が一致するところであり、出た結果が設定した目標を達成しているかどうかを検査する必要があります。 達成できていなければ、何かが間違っているはずなので、是正処置や予防処置を実行する必要があります。

14. 内部監査

人間は、自分のしていることが間違っていることに気づかない（また気づいていても、他人には知られたくない）ことが珍しくありません。 けれども、既存の問題や潜在的な問題に気づかないと、組織に害を与える可能性があります。そのような事態を発見するには、内部監査を実施する必要があります。ここでのポイントは、懲戒処分ではなく、是正処置や予防処置をとることです。( 「ISO 27001およびBS 25999-2内部監査員のジレンマ」を参照）

15. マネジメントレビュー

経営陣は、ファイアウォールを直接設定する必要はありませんが、ISMSで起こっている事、つまり、全員が任務を遂行しているか、あるいは、ISMSが望ましい結果を実現しているかを知る必要があります。 経営陣はそれに基づいて、重要な意思決定を行う必要があります。

16. 是正処置および予防処置

マネジメントシステムの目的は、間違った事（いわゆる「不適合」）のすべての是正・予防を保証することです。したがって、ISO 27001では是正処置・予防処置を体系的に実施することを求めています。つまり、不適合の根本原因を特定して、解決・検証する必要があるということです。

この記事により、やるべきことがはっきりすれば幸いです。ISO 27001は簡単な作業ではありませんが、必ずしも複雑ではありません。 必要なのは、各手順を慎重に計画することだけです。そうすれば認証を取得できるのでご安心ください。

をクリックすれば、以上の全手順を示したISO 27001導入プロセスの図を、必要な文書と共にダウンロードすることができます。