概要

ISO27001（情報マネジメントシステム）とは、ISO（国際標準化機構）が定めた情報に関するマネジメントシステムの国際標準規格である。
企業が保有する情報資産の「機密性」「完全性」「可用性」という3つの項目を確立し、適切にマネジメントして有効活用するための組織の枠組み作りを目的としている。

ISO27001の目的

01 機密性
悪意のあるアクセスや利用、人的なミスを防止するための設定

02 完全性
意図せず情報が変更されてしまうことを防止するための対策

03 可用性
必要なときに必要な情報を参照するためのバックアップや複数端末の準備

ISO27001における目的達成方法

01 ISO27001の適応範囲を決める
ISO27001は企業全体としてではなく、部門・部署ごとに取得することができるため、まずは任意でISO27001の適応範囲を決める。
このとき、自社の業種や業態・規模、活動範囲（所在地）、適応範囲に含めない部門との関連性を考慮する必要がある。

02 基本方針を決める
情報セキュリティに関する基本的な方向性や行動の指針を決定する。
ここでは、企業として情報セキュリティを構築する目的及び目標、情報資産の対象も併せて明確にする。

03 リスクの評価方法を決める
自社が保有する情報がどこに存在し、それぞれどのような資産価値を持っているのかを洗い出す。いわば情報資産の棚卸し作業である。
ISO9001やISO27001を構築する際にもまずは現状を改めて見直して無駄を洗い出し、改善計画を立てるというステップがある。
ISO規格の構築においてこの「洗い出し」は非常に重要かつ必要不可欠なステップであり、システム構築上のノウハウが必要になる。

04 リスクの識別
ステップ03で洗い出した情報資産に対して考えられるリスクとその影響を明確にする。
ここでは、ISO27001において重要なファクターである「機密性」「完全性」「可用性」という3つの切り口から、情報の資産価値（＝その情報が失われた場合の損害の大きさ）を評価する。

05 リスク評価を実施
ステップ04までで洗い出し、識別した項目に対して数値を基にした定量的評価を行う。
これによって明確な管理目標値を設定することができる。

06 リスク対応
ここまでで特定されたリスクに対する対応計画を作成する。

以上の手順で作成した対応計画を基に企業が保有する情報資産の「機密性」「完全性」「可用性」という3つの項目を確立し、適切にマネジメントして有効活用するための組織の枠組み作りという目的を実現していく。

ISO27001導入の効果

01 従業員の情報セキュリティに対する意識の向上
ISO27001では定期的な従業員への情報セキュリティ教育が必須となっているため、他社の情報漏洩事故の事例や起こりうる情報セキュリティ事故、情報管理における意識を学ぶことで従業員ひとりひとりの情報セキュリティ意識が高まり、事故を減らすことができる。

02 適切な情報セキュリティ管理でリスクを避けられる
リスクを把握できていれば、そのリスクに対する対応計画を立てることができる。
リスクアセスメント＋リスク対応計画を年に1回など定期的に行うことで、常に情報セキュリティリスクに対する事前準備ができるようになり、組織全体で適切な情報セキュリティ管理ができている状態を保つことができる。

03 情報の活用、業務効率の向上
ISO27001では情報を整理整頓し、必要なときに必要な情報にいつでもアクセスできるようにすることが求められている。
つまり、ISO27001を取得しているということは無駄な時間や手間をかけずに情報へアクセスできる状態が保たれている＝業務効率がアップする、と考えられる。