2025年8月29日
目次
Close
ISO/Pマークの認証・運用更新を180時間も削減!
認証率100%の認証パートナーが無料問い合わせを受付中!
認証パートナーは8,000社を超える企業様の認証を支援し、認証率100%を継続してきました。
経験豊富なコンサルタントの知見を活かし、お客様のISO/Pマーク認証・運用更新にかかる作業時間を約90%削減し、日常業務(本業)にしっかり専念することができるようサポートします。
▼認証パートナーが削減できること(一例)- マニュアルの作成・見直し:30時間→0.5時間
- 内部監査の計画・実施:20時間→2時間
- 審査資料の準備:20時間→0.5時間
認証取得したいけれど、何をすれば良いか分からない方も、まずはお気軽にご相談ください。
ISMSの目標と計画は文書化しなければならず、要求事項に準拠しなければなりません。
しかし、
「具体的に何を目標として設定すれば良いのか、漠然としていてイメージが湧かない」
「数値目標を設定したいが、どのように測定可能にすれば良いか分からない」
といったお悩みをお持ちの担当者様も少なくないのではないでしょうか。
本記事では、ISMSの目標・計画についての基礎知識から、ISO27001の要求事項に基づいた具体的な策定方法、さらには実際の例を交えて解説します。また、すぐに使えるフォーマットも無料でダウンロードできますので、ぜひご活用ください。
1.ISMSの目標・計画とは
(1)ISMSの目標とは情報セキュリティ目的を達成するために設定されるもの
ISMSの目標とは、情報セキュリティの目的を達成するために、組織が具体的に設定する指標のことです。
これらの目標は「情報セキュリティリスクアセスメント(リスクの洗い出しと評価)」の結果をもとに決められます。つまり、組織が「このリスクは軽減すべきだ」と判断した内容や、「今よりもっと強化したい」と考える取り組みを明確に示したものがISMSの目標です。
(2)要求事項に沿って文書化する必要がある
この目標とその計画は以下の要求事項に沿って文書化する必要があります。
詳しい例は「2.ISMSの目標と計画の例」で解説いたします。
組織は,関連する部門及び階層において,情報セキュリティ目的を確立しなければならない。
情報セキュリティ目的は,次の事項を満たさなければならない。
a) 情報セキュリティ方針と整合している。
b) (実行可能な場合)測定可能である。
c) 適用される情報セキュリティ要求事項,並びにリスクアセスメント及びリスク対応の結果を考慮に入れる。
d) 伝達する。
e) 必要に応じて,更新する。組織は,情報セキュリティ目的に関する文書化した情報を保持しなければならない。
組織は,情報セキュリティ目的をどのように達成するかについて計画するとき,次の事項を決定しなければならない。f) 実施事項
g) 必要な資源
h) 責任者
i) 達成期限
j) 結果の評価方法引用:ISO/IEC27001:2022
(3)各項目の解説
- a) 情報セキュリティ方針と整合している。
→情報セキュリティ目的は、情報セキュリティ方針と整合している必要があります。
- b) (実行可能な場合)測定可能である。
→可能な限り数字などで測れるように設定することが望ましいです。
これにより、達成度の把握、進捗を管理しやすくなります。
例えば、「インシデント件数」や「教育受講率」など、具体的な指標を設けることで、目標達成に向けた効果的な改善活動が可能になります。
- c) 適用される情報セキュリティ要求事項,並びにリスクアセスメント及びリスク対応の結果を考慮に入れる。
→リスクアセスメントやリスク対応の結果を考慮する必要があります。
- d) 伝達する。
→設定した情報セキュリティ目標は、その達成に関わる組織内の全てのメンバーに、確実に伝えられ、理解されている必要があります。
- e) 必要に応じて,更新する。
→情報セキュリティ目標は一度設定したら終わりではありません。組織を取り巻く環境は常に変化するため、目標も定期的に見直し、必要に応じて内容を調整・更新していくことが求められます。
- f) 実施事項
→具体的にどのような活動を行うかを決定します。
- g) 必要な資源
→目標達成に必要な人、物、予算などのリソースを指します。
- h) 責任者
→ 誰がその目標や計画に責任を持つのかを決定します。
- i) 達成期限
→ いつまでに目標を達成するのかの期限を設定します。
- j) 結果の評価方法
→目標が達成できたかをどう確認・評価するかを設定します。
2.ISMSの目標と計画の例(無料フォーマット付き)
冒頭でもお伝えしましたが、ISMSの目標と計画は文書化する必要があります。
特に決まったフォーマットがあるわけではありません、以下フォーマットと文書化例(記入例)をご紹介します。
まずはこちらのエクセルファイルをダウンロードしましょう。
▼情報セキュリティ目的管理表・リスク対応計画記入例
このシートでは情報セキュリティ目的と、リスク対応計画を管理することができます。
「リスク対応計画」とは情報セキュリティのリスクが想定される事象に対し、回避または残留リスクとして管理するための施策を計画し、実施するためのものです。
リスクアセスメント表から、リスクアセスメント規程の基準値を超えるリスクを特定し、その内容を記載しましょう。
リスク対応計画について詳しくはこちらの記事で解説しています。
それでは各項目について説明します。
(1)実施事項、必要な資源、責任者、達成期限、結果の評価方法
これらの項目は、「1. ISMSの目標・計画とは」で解説した、要求事項 (f)~(j) に対応しています。
目標を達成するために「何を(実施事項)」「何を使って(必要な資源)」「誰が(責任者)」「いつまでに(達成期限)」行い、「どう評価するのか(結果の評価方法)」を具体的に記載します。
(2)インプット
この項目は、その目標や計画を設定・決定するための「元となる情報」や「根拠」 を意味します。
例えば、上記の記入例①のNo.1では、「ISMSの取得」という目的が、マネジメントレビューの結果、経営トップからの指示によって決定された、ということを示しています。
つまり、目的や計画がどのような背景や根拠に基づいて策定されたのかを明確にするための項目です。
(3)実施事項計画・実施結果
これは、対応する情報セキュリティ目的やリスク対応計画の「実施事項(目標)」欄に記載された内容を、より具体的に分解し、月別にいつ何を行うかを記載します。
例えば、No.1では「ISMSの取得」という目標に対し、月ごとに外部打合せ、書類審査などが計画されています。
そして計画された実施事項が実際に完了したか、現在の進捗状況を実施結果に記入します。
各タスクの実施状況を明確にし、計画通りに進んでいるか、遅延が発生していないかなどを把握します。
3.ISMSの目標についてのよくある質問
(1)「目的」と「目標」の違いは何ですか?
目的とは最終的に目指す理想の状態や実現したいゴールのことを意味します。
目標は目指すべきゴールに向けた計画のことを言います。
つまり、目指す理想のために具体的に何をしたらいいのかを設定したものが目標です。
目的を達成するための目標は必ずしも1つではありません。目標は、プロセスごとや部署ごとに設定しても良いので、複数存在することもあります。
(2)目標は必ず定量じゃないといけませんか?
要求事項6.2 bには、「(実行可能な場合)測定可能である」と記載されています。
これは、すべての目標を完璧に数値化する必要はないとされています。
例えば、「従業員のセキュリティ意識向上」という目標は、それだけでは定量的ではありません。しかし、このような場合でも測定を可能にする方法はあります。
具体的には、「全従業員の情報セキュリティテストで95点以上を目標とする」 のように、具体的な数値目標を設定することができます。
あるいは、定期的なヒアリングやアンケート調査を実施し、その結果を毎月レポートとして記録することで、意識の変化や向上度合いを定性的に追跡し、測定可能にすることもできます。
重要なのは、設定した目標の達成状況を何らかの客観的な方法で評価できることです。
(3)目的、リスク対応計画の数はいくつぐらいがいい?
それぞれいくつ必要かは明確にされていませんが、目的に関しては最低1つは設定しましょう。
リスクアセスメント表の結果や自社の状況に合わせて設定しましょう。
まとめ
本記事では、ISMSの目標と計画の立て方について、実際のフォーマットを用いた記入例とあわせて詳しく解説しました。
ISMSの目標は自由に設定できますが、リスクアセスメントの結果や自社の状況を踏まえて設定することが重要です。また、目標の達成に向け具体的な実施計画を立て、その進捗を定期的に確認・評価することが求められます。
▼文書化のポイント
目標達成に向けて、以下の項目を明確に文書化しましょう。
- 「何を行うか(実施事項)」
- 「どのようなリソースが必要か(必要な資源)」
- 「誰が責任を持つのか(責任者)」
- 「いつまでに実施するのか(達成期限)」
- 「どのように達成状況を評価するか(結果の評価方法)」
ぜひ、本記事でご紹介した無料フォーマットを活用し、貴社に適した情報セキュリティ目標の設定と実施計画の策定にお役立てください。
ISO/Pマークの認証・運用更新を180時間も削減!
認証率100%の認証パートナーが無料問い合わせを受付中!
認証パートナーは8,000社を超える企業様の認証を支援し、認証率100%を継続してきました。
経験豊富なコンサルタントの知見を活かし、お客様のISO/Pマーク認証・運用更新にかかる作業時間を約90%削減し、日常業務(本業)にしっかり専念することができるようサポートします。
▼認証パートナーが削減できること(一例)- マニュアルの作成・見直し:30時間→0.5時間
- 内部監査の計画・実施:20時間→2時間
- 審査資料の準備:20時間→0.5時間
認証取得したいけれど、何をすれば良いか分からない方も、まずはお気軽にご相談ください。
ISO・Pマーク(プライバシーマーク)の認証・更新も安心
認証率100% ✕ 運用の手間を180時間カット!
信頼の「認証パートナー」が無料相談を受付中!
一目でわかる
認証パートナーのサービスご説明資料
8,000社以上の支援実績に裏付けされた、
当社サービスの概要を紹介しております。
資料の内容
- ・一目でわかる『費用』
- ・一目でわかる『取得スケジュール』
- ・一目でわかる『サポート内容』
ISMS(ISO27001)認証パートナー
サービスのご案内
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
-
Pマーク
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。Pマークの認証ページへ -
ISO9001
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。ISO9001の認証ページへ -
ISMS・ISO27001
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。ISMS/ISO27001の認証ページへ -
ISO14001
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。ISO14001の認証ページへ -
ISO27017など各種対応規格
ISO27017やISO22000など各種規格もお得に 新規取得や運用・更新ができます。ご気軽にお見積りください。
ISO27017など各種対応規格ページへ -
複数規格の同時取得
ISOやプライバシーマークを同時に認証取得すると費用や工数を抑えることができます。安心してご相談ください
複数規格の同時取得ページへ
- © 2022 Three A Consulting Co., Ltd.