怖くないISMS ・ ISMS規格アップデートの話「研究発表会vol.06〜ISMS編〜」

Date

December 30, 2023

はじめに

しくみ製作所の eigoro です。今回、2022年10月に改定されたISO27001に沿って更新したISMSの適用宣言書や規格と、法務がこれまで推進してきたISMSの取り組みについて、社内へ周知するため研究発表会の場にて発表いたしました。

ISO27001の改定を伝えよう

今回の研究発表会では、ISO27001の改定で見直した適用宣言書の変更点のみをお伝えする予定でした。しかし、せっかく研究発表会の場を使ってISMSとしてメンバーにお話できるのであれば、どんな活動をしているのかを少しでもお伝えできればいいのではと思い資料を増量し、以下の項目にてまとめました。

そもそもISMSとはなにか
適用宣言書とはなにか
適用宣言書の改定でなにが変わったか
ISMSはどのような運用をしているのか

そもそもISMSとはなにか？

ご存知の方も多いかと思いますが、ISMSとは「Information Security Management System 」の略、すなわち「情報セキュリティ管理システム」のことです。組織の情報セキュリティレベルを向上させることで、結果として情報の流出等を防ぎ、情報そのものも使いやすい状態で管理されるよう、しっかりルールを決めて対策していきましょう、という取り組みです。

そして、それらを構築していく上でもまとめられた事項があります。 ISO27001は、組織に求められる要求事項＝教科書のようなもので、ISMSの認証を取得するにはこういうルールを守る必要がある、また、ISO27002は、要求事項の実践規範＝参考書のようなもので、ISMSの具体的な管理策はこういうことを考慮すると良い、を示してくれています。

ISMSに取り組む目的は、主にこのような感じでしょうか。

情報セキュリティリスクを適切にマネジメントできる
業務プロセスを改善することができる
組織外に信頼感や安心感をアピールできる

特に日頃からメンバーに情報の扱い等に対し、丁寧に実施することを意識してもらえたり、外部の方への信頼度が高まるところにはメリットを感じています。自治体案件の入札等もISMSの取得が条件になっているものもあり、取得に対する必要性も年々増しているような気もしています。

適用宣言書とはなにか？

さて、今回の発表内容の主要部分でもあった適用宣言書の改定内容について、適用宣言書とはなにか？というところから説明しました。

適用宣言書とは、組織がISO27001（教科書）で定められた情報セキュリティ管理策に対して、どれを適用してどれを除外するのか宣言した文書のことです。こちらの適用宣言書の作成は義務付けられています。ただ、実施を推奨されてはいるものの、全ての項目について必ずしも適用しなくとも構いません。これらの管理策それぞれの適用の有無と理由、そして適用を除外した場合も理由を記載していきます。

肝心な改訂内容については、以下となります。