「ISO/IEC 27001取得」とは、情報の取り扱いに関して、国際的に認められたレベルの管理体制を構築し、適切に運用している」ことの客観的な証明だ。これにより、取引先や顧客に対して、組織として情報セキュリティに対する高い意識と具体的な対策を講じていることを示せる。

ISO/IEC 27001が求めるもの

この規格が要求するのは、単なる個別のセキュリティ製品の導入ではない。組織全体で情報を守るための継続的な仕組み、すなわちISMS (Information Security Management System) の構築と運用だ。

中心となるのは、以下の3つの要素を維持・管理することにある。

• 機密性 (Confidentiality) 許可された者だけが情報にアクセスできる状態を確実にする。
• 完全性 (Integrity) 情報が正確であり、改ざんされていない状態を維持する。
• 可用性 (Availability) 許可された者が必要な時に情報にアクセスできる状態を保証する。

これらのバランスを取り、リスクを適切に管理するための枠組みが求められる。

認定までの手続き

認定の取得は、以下の段階的な手続きを経て行われる。一夜漬けでどうにかなるものではない。

1. ISMSの構築と運用
   • 適用範囲の決定: 組織のどの部門、どの情報資産をISMSの対象とするかを定義する。
   • 情報セキュリティ方針の策定: 組織のトップが、情報セキュリティに対する基本的な考え方や方向性を示す。
   • リスクアセスメント: 保有する情報資産を洗い出し、それぞれに潜む脅威や脆弱性を評価し、リスクのレベルを決定する。
   • 管理策の選択と適用: 評価したリスクに対応するため、規格で示されている管理策（具体的な対策ルール）の中から適切なものを選択し、実施計画を立てる。
   • 文書化: 方針、手順、管理策などを規定した文書を作成する。
   • 運用: 構築したISMSを実際に組織内で運用する。
2. 内部監査とマネジメントレビュー
   • 内部監査: 構築したISMSが、規格の要求事項や組織が定めたルール通りに運用されているか、自組織の監査員がチェックする。
   • マネジメントレビュー: 内部監査の結果などを基に、経営層がISMSの有効性を評価し、見直しや改善の指示を行う。
3. 審査機関による審査 第三者である審査機関による審査を受ける。審査は2段階で実施される。
   • 第一段階審査: 主に文書審査。作成された規程や手順書が、規格の要求事項を満たしているかを確認する。
   • 第二段階審査: 主に現地審査。ISMSが文書通りに、かつ有効に運用されているかを、現場での記録や担当者へのインタビューを通じて確認する。
4. 認証取得 第二段階審査で指摘事項がなければ、認証が承認され、証明書が発行される。もし指摘事項（不適合）があった場合は、是正処置を行い、その有効性が確認された後に認証される。

認証は一度取得すれば終わりではない。維持するためには、毎年「維持審査」を受け、3年ごとに「更新審査」を受ける必要がある。継続的な改善が前提の仕組みということだ。