2026年3月19日
における-運用とは?-1200x600.png)
ISMS(ISO27001)は取得したら終わり、ではなく「やること」が決められており、定められている10項の要求事項に沿って実施・運用していく必要があります。本記事では、ISMS(ISO27001)の定期運用でやることを紹介します。
目次
もっと見る
ISMS(ISO27001)の運用とは実際どのように行えばいいのでしょうか?
ISMSを取得したは良いが、運用方法について困っている方は多く存在します。
ISMSの基本的な流れは、PDCAサイクルに基づいて行うことが一般的とされています。
PDCAとは、計画・実行・評価・改善を英語表記にした時の頭文字をとったものです。
そんなPDCAサイクルを、ISMSの運用においてどのように活用していくのか。
今回はISMS(ISO27001)の運用に関するお困りごとについて細かく解決していきます。
この記事を読むことで、ISMSの運用方法が明確になり、運用に対する計画を立てやすくなることでしょう。
1.ISMS(ISO27001)の運用ですること
ISMS(ISO27001)の運用は以下の要求事項10項に沿って構築したルールの中から、4項以降を運用していきます。
- 1項 適用範囲
- 2項 引用規格
- 3項 用語及び定義
- 4項 組織の状況
- 5項 リーダーシップ(方針の策定、組織体制の整備等)
- 6項 計画(リスク・機会、目的目標の管理)
- 7項 支援(設備資源、力量、コミュニケーション、文書・記録管理)
- 8項 運用(情報セキュリティアセスメントとリスク対応)
- 9項 パフォーマンス評価(内部監査、マネジメントレビュー等)
- 10項 改善(是正処置対応、継続的改善)
上記のうち、4〜7の項目がPlan(計画)、8が運用(Do)、9が評価(Check)、10が改善(Action)となっております。
実質、ISMS(ISO27001)独自の運用として必要なのは、以下の8つです。
(また、要求事項附属書Aで定められている事業継続についての訓練実施もISO運用のために必要になります。)
- 組織の状況を理解すること
- 情報セキュリティリスクアセスメント
- リスク対応計画
- 目的目標を管理すること
- 教育
- 内部監査
- マネジメントレビュー
- 是正処置とインシデント
次の章で、順に説明します。
2.組織の状況を理解すること
簡潔に言うと「組織を取り巻く外部の課題・内部の課題を整理しましょう」ということです。
マネジメントシステムを運用するには、どんな規格であれ目標達成を目指して活動していきます。
まずは、その目標を達成するためには自社の状況を分析をすること。
そこから組織の状況を理解するということが大切です。
自社のヒト・モノ・カネその他の課題やリスク、顧客等の外部から求められているものなど、まずは自分たちの組織について理解することが重要です。
3.情報セキュリティリスクアセスメント
組織で関わる情報資産は何か?潜在するリスクは何か?もしそれが起こった場合の影響は?など、業務やプロセスごとに1つずつ洗い出し、それぞれに対策を取っておかなければなりません。
また、守らなければならない情報は何か?あるいはリスクは低いが注視しなければならないものは何か?などを決めていきます。
会社は大なり小なり変化しているはずなので、変化に気づいてリスクや守るべき情報を見逃さないためにも毎年の見直しが必要です。
リスクアセスメントには、3つのプロセスがあります。
(1)リスクの特定
組織が保有する情報資産に対する脅威や脆弱性を洗い出し、明確にするプロセスです。
リスクの原因、発生する可能性のある事象、その結果として生じる影響などを特定します。このプロセスは、リスクアセスメントの最初のステップであり、その後の分析や評価の基盤となります。
(2)リスクの分析
組織が直面する可能性のあるリスクを特定し、それらが組織に与える影響を評価するプロセスです。
リスク分析は、例えばリスクを数値化したり、優先順位をつけることで、組織がリスクに対応するための戦略を立てることに役立ちます。
優先順位はリスクレベルが高いものから対応していく必要があります。
(3)リスクの評価
特定されたリスクの影響度や発生確率を評価し、対策の必要性や優先順位を判断するプロセスです。リスクアセスメントの一環として行われ、組織が抱えるリスクを管理するために重要です。
具体的な情報セキュリティリスクアセスメントの進め方は、こちらをご覧ください。
4.リスク対応計画と目的・目標の管理(Plan)
リスク対応計画と目的・目標の管理では、PDCAサイクルにおける計画(Plan)にあたる部分になります。
ISMS(ISO27001)の運用の計画とはどのように行うべきなのか。
具体的には下記の2つが挙げられます。
(1) リスク対応計画
情報セキュリティリスクアセスメントで洗い出された、特に守らなければならない情報や注視しなければならないものについてはリスク対応計画を策定し、別途管理していきます。
(2) 目的・目標を管理すること
こちらも洗い出された情報セキュリティリスクアセスメントあるいは他の情報から、運用のゴールとして設定する目標を決めて、スケジュールごとなどで達成までの活動を追って管理できるようにします。
.png)
5.運用を始めるにあたっての流れ(Do,Check,Action)
PDCAサイクルにおける実行(Do)・評価(Check)・改善(Action)にあたる部分になります。
運用をするにあたって、流れを詳しく学んでいきましょう。
(1)教育
ISO27001では毎年の教育が必須という要求事項が明確にあるわけではありません。
事務局や担当者だけがマネジメントシステムを運用できるものではなく、組織全体で運用するためにはまずは自社のルールを理解することから始まります。
どんな情報を守らなければならないか・それはなぜか・守らなかった場合どうなるかなどを知ることが重要です。
定期的な教育の実施などで自社のルールを理解することやISMS(ISO27001)がどういう活動なのかを教育内容に取り入れていきましょう。
(2)事業継続計画
事業継続計画とはインシデントが発生しても事業を継続・復旧できるようにあらかじめ備えておくことです。
ISMS(ISO27001)では要求事項本体ではなく附属書に記されており、詳細な項目はありませんが、実際に起こった場合を想定して誰が・いつ・どこで・どうやって・何をするかを決めて手順にしておくことが重要です。
毎年、手順が有効かを確認するために実際に訓練としてやってみて手順を見直していきます。
(3) 内部監査
内部監査は、ISMS(ISO27001)だけでなくISO規格で重要な仕組みの1つです。
内部監査では運用の状況を客観的に評価することができます。
内部監査を実施し、ルール通りに運用ができているか、漏れている運用はないか、もっと改善すべきことはないかを自社でチェックします。
厳選された内部監査員で構成され、計画に沿って監査を実施し、結果を経営層や委員会に報告します。
重要なのは、これらの役割が明確に定義され、それぞれの担当者が責任を持って活動できる体制を構築することです。
(4)マネジメントレビュー
一通りの活動結果を組織のトップへインプットし、次の運用に向けた方向性を確認し、アウトプットをもらいます。
(5)是正処置とインシデント
内部監査やクレームなどで出た不適合の是正処置もそうですが、その他でも出た改善点に対し、是正処置を行い再発防止策をとって2度と発生しないように対策します。
その他、インシデントとして処置対応すべきことも再発防止策を取って改善し、次からの運用に活かします。
ISMS(ISO27001)の教育について詳しく知りたい方は、こちらの記事で詳しく説明しております。
6.ISMSの運用のメリット・デメリット
ISMSの運用では良いこともありますが、良いことばかりということではありません。
慎重に運用していくために、ISMSの運用のメリット・デメリットを学んでいきましょう。
(1)メリット
情報セキュリティレベルの維持、向上
⇒情報漏洩、サイバー攻撃、内部不正などのリスクを効果的に低減できます。
事業継続性の確保
⇒問題が発生した時の対応や復旧方法を訓練しておくことで、もしもの事態が発生した場合でも、事業への影響を最小限に抑えることができます。
業務効率の改善とコスト削減
⇒業務プロセスが標準化・効率化されることがあります。
(2)デメリット
継続的なコスト
⇒認証取得後も、維持審査や更新審査の費用が発生し、継続的なコストがかかります。
業務負担が増える
⇒ISMSの導入により、文書管理、リスクアセスメント、内部監査、従業員教育など、新たな業務が発生し、従業員の負担が増加する可能性があります。
7.まとめ
今回はISMSの運用方法についてご紹介しました。
ISMSの運用では、多くの流れが存在します。
その中で、PDCAサイクルを活用しながら進めていくというやり方が基本的な流れです。
そして、大切なことはISO27001の運用の要求事項10項に沿って行っていくことです。
要求事項に沿って進めていきますが、その中でメリット・デメリットを考慮することに
気を付けなければなりません。
いかがでしたか?
本記事を拝読したことで、ISMSの運用を明確にすることができ、運用の計画を立てやすくなることができたなら幸いです。
← 記事の内容をまとめた動画はこちら!!
\ フォローしてね /
ISO・Pマーク(プライバシーマーク)の認証・更新も安心
認証率100% ✕ 運用の手間を180時間カット!
信頼の「認証パートナー」が無料相談を受付中!
一目でわかる
認証パートナーのサービス紹介資料
8,000社以上の支援実績に裏付けされた、
当社サービスの概要を紹介しております。
資料の内容
- ・当社の『サポート費用・内容』
- ・取得までの『スケジュール』
- ・コンサル会社を選ぶ際の『ポイント』
- ・認証パートナーと『他社との違い』
- ・お客様のお声
ISMS(ISO27001)認証パートナー
サービスのご案内
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
-
Pマーク
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。Pマークの認証ページへ -
ISO9001
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。ISO9001の認証ページへ -
ISMS・ISO27001
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。ISMS/ISO27001の認証ページへ -
ISO14001
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。ISO14001の認証ページへ -
ISO27017など各種対応規格
ISO27017やISO22000など各種規格もお得に 新規取得や運用・更新ができます。ご気軽にお見積りください。
ISO27017など各種対応規格ページへ -
複数規格の同時取得
ISOやプライバシーマークを同時に認証取得すると費用や工数を抑えることができます。安心してご相談ください
複数規格の同時取得ページへ
- © 2022 Three A Consulting Co., Ltd.