ISMS(ISO27001)の要求事項とは?何が求められているのか

isms要求事項とは


ISMS(ISO27001)の要求事項とは、「情報を安全に守るためにこういうことをやりましょう」という基本要件のことです。
ISMS(ISO27001)認証取得のためには、この要求事項に沿って情報セキュリティマネジメントシステムを構築しなければなりません。

1.ISMS(ISO27001)の要求事項とは?

要求事項とは、その規格で求められている条件のことです。
ISMSの審査では、この要求事項に適合しているかを審査員に確認されます。

ISMSにおいては、下記の通り10項目の要求事項が定められています。

1項 適用範囲
2項 引用規格
3項 用語及び定義
4項 組織の状況
5項 リーダーシップ
6項 計画
7項 支援
8項 運用
9項 パフォーマンス評価
10項 改善

2.それぞれの要求事項を理解しよう

それぞれの要求事項について解説していきます。
主要な要求事項にしぼりますので、1項~3項、7項、9項、10項については今回は割愛します。

【4項】組織の状況

組織内外の課題や利害関係者のニーズ把握を行った上で適用範囲を決めることが要求されています。
組織内でしたら従業員の声やニーズなど、組織外でしたら取引先だけでなく外注先、購買先など広く定義されています。

【5項】リーダーシップ

適用範囲の中で組織を指揮する最高責任者がコミットメントしないといけないということが要求されています。
コミットメントとは、「約束を必ず果たす」ということです。
担当者まかせではなく、最高責任者がリーダーシップを発揮しなければなりません。

【6項】計画

PDCAサイクルの『P』の部分にあたります。

リスクアセスメントを行い、情報セキュリティの目的とそれを達成するための計画を作るよう求められています。

【8項】運用

PDCAサイクルの『D』の部分にあたります。

組織は要求事項を満たすため、そして、6項で定めたリスクアセスメントやリスク対応を実施するために、ISMSの活動を計画、実施、管理していく必要があります。
これはただ計画して実行するだけではなく、本実質的に計画通り実行できているのか、また確認が取れる状態にあるかを文書として作成する必要があると要求されています。

3.構築でのよくあるミス

ISMS(27001)を構築する上でよくあるミスは

・要求されている記録が作成されていない
・自社にあったルールが構築できていない

ということです。

すべての管理策を満たそうとするのではなく、自社と規格要求事項を照らし合わせてISMS(27001)を構築しましょう。

まとめ

ISMS(ISO27001)における要求事項とは、その規格で求められている基本要件のことです。
ISMSにおいては、10項目の要求事項が定められており、
審査では、この要求事項に適合しているかを審査員から確認されます。

要求事項に沿ってルールを作るときは、守れないような厳しいルールをつくるのではなく、組織に合ったルール作りを心がけましょう。

こちらの記事でもISMS(ISO27001)について詳しく解説しておりますので是非ご覧ください。
ISMS(ISO27001)認証について徹底解説

カテゴリー: