• Pマーク
  • ISO
  • ISMS

コラム

  • ISO
  • ISOコラム
  • ISO27001:2013(ISMS):2013年度規格改訂 7.1項「資源」規格解釈
業界初!全額返金保証!月額4万円からのISO取得サービス

ISO27001:2013(ISMS):2013年度規格改訂 7.1項「資源」規格解釈

OOK8963_tobidase_TP_V

ご愛読者の皆様、いつもありがとうございます。また、初めての方も、ありがとうございます。
ISO総合研究所コンサルタントの久米です。

今回は『ISO27001:2013年度規格改訂 7.1項「資源」について』をお伝えしたいと思います。

規格要求事項

まず、規格要求事項には『組織は、 ISMSの確立、 実施、維持及び継続的改善に必要な資源を決定し、提供しなければならない。』と書かれています。

さてさて、なんのことかな??どういう意味??とりあえず、どうすればいいの??
との言葉が聞こえてきそうです。

上記の解説をさせていただきますと・・・。

資源の決定、提供については、リーダシップ(5.1項 c, e, f, g, h)の要求事項を念頭に、進めなければなりません。資源は、ただ導入し、提供し、あとは良きに計らえ、では効果を生みません。導入計画はあるが先に進まないケースをよく目にします。
利用可能な状態に整え、関係するリスクのオーナーに意図した成果を伝え、指揮し、管理層がリーダシップを発揮するなど、それを生かす計画が重要です。

5.1項のc), e), f), g), h)の要求事項とは下記に記します!!

c)ISMSに必要な資源を利用可能にする
e)ISMSが意図した成果を達成することを確実にする
f) ISMSの有効性に貢献するように、人を指揮して支援する
g)継続的改善を促進する
h)関連する管理層がその責任の下、リーダシップを発揮できるよう管理層の役割を支援する

ふむふむ!!
じゃあ、具体的には??何を資産(情報)というのですか??

・情報/データ(例えば、支払いの詳細を含んだファイル、製品情報など)
・ハードウェア(例えば、コンピュータ、プリンタなど)
・アプリケーショ運を含むソフトウェア(例えば、テキスト処理プログラム、特別の目的のための開発されたプログラムなど)
・通信設備(例えば、電話、銅線、ファイバーなど)
・ファームウェア(例えば、フロッピーディスク、CD-ROM、PROMなど)
・文書(例えば、契約書など)
・資金(例えば、ATMなど)
・製造物
・サービス(例えば、情報サービス、計算資源など)
・サービスの信頼と信用(例えば、支払いサービスなど)
・環境設備
・要員
・組織のイメージ

上記のような項目を自社の重要な(情報)資産ととらえ漏れ無くリストアップしていきます。

※”管理責任者”、”利用範囲”、”分類”なども含めてリストアップすると良いでしょう。
※”管理責任者”は、個人名でなくても役職名でも構いませんし、また、グループ(部課名)でも構いません。(JIS Q 27001解説)
※”利用範囲”は、”場所”の概念と、”業務”の概念があるでしょう。
※”分類”については、その分類体系を定めておく必要がありますが、リスクアセスメントの項で示す、”機密性、完全性、可用性の喪失がそれらの(情報)資産に及ぼす影響”などを対応させることが考えられます。

すべての(情報)資産の洗い出しを終えたら、その中から、重要な(情報)資産の目録を作成(文書化)することになりますが、「重要な(情報)資産」は前述の”分類”によって抽出できるでしょう。

<注意>

規格の1.適用範囲 1.1一般では、「ISMSは、情報資産を保護し、また、利害関係者に信頼を与えるために設計される。」と言った旨が記載されているものの、実は、規格の中では、「情報資産(information assets)」とはあまり記述されていません。(見逃していたら済みません。)

規格要求事項の中では、殆どが資産(定義:組織にとって価値のあるもの)として記載されていることに注意が必要です。情報は資産に属する一要素というわけです。

「ISMSは、情報及び情報処理施設と関連する資産(情報資産)を保護する」と解釈しても問題ないであろうと判断し、「情報資産=組織にとって価値のある情報及び情報処理施設と関連する資産」と定義して、規格中の「資産」=「情報資産」として扱っています。実際、様々な解説書等で「情報資産」として扱われています。とりあえずここでは、「(情報)資産」として表しております。

あくまでも、弊社の解釈であり、全ての審査機関・審査員が同様の解釈をすると限りませんのでご注意ください。

最後に

長々とお話をさせて頂きましたが、いかがでしたでしょうか??なんとなくでもわかって頂けましたでしょうか??

まだ、よくわからない!!わかったけど本当はどうなの??と思った方は1度、弊社のお話しを聞いていただきご検討いただければ幸いです。

・これからISO27001(ISMS)取得を検討している。
・ISO27001(ISMS)を取得したけど、運用がうまくいかない。
・ISO27001(ISMS)を取得したけど、今後どうしたらいいのかがわからない。
・ISO27001(ISMS)の審査機関変えたいんだけど、どうしよう??

などなど、一人で、自社だけでどうすればいいのかお考えでしたら弊社は、現在、約1,500社様以上のサポートをさせて頂いております。
豊富な実績で精一杯サポートさせていただきます。

カテゴリー:ISOコラム タグ:27001 ISO ISO規格改訂 コンサルタント ハウツー

【ISO総研】
メールマガジン登録

ISO・Pマークに関する情報をお届けします!

メールアドレスをご入力後、
「次へ」ボタンをクリックして下さい。

メールアドレス

関連記事

0120-068-268
無料相談はコチラ無料相談
資料請求はコチラ資料請求
お問い合わせはコチラお問い合わせ