ISMS審査合格率100%

0120-068-268
お電話受付:平日9:30〜18:30

ISMS(ISO27001)認証お役立ちコラム

【入門】ISMSの目標は何にする?具体例と共に紹介

2022年11月9日

【入門】ISMSの目標は何にする?具体例と共に紹介

ISMSの目標とは、組織の状況に合わせて設定するものであり、目的を達成するために具体的なセキュリティ計画を立てることを指します。ISMSの目標に数値目標を入れることで、目標が組織内に伝わりやすくなりますが、必ずしも数値目標である必要はありません。

1.ISMS目標はどうやって決める?

ISMSの目標を立てるためにはまず、現状把握が必要です。

情報資産を洗い出し、リスクを評価します。
この情報セキュリティにおけるリスクアセスメントを行ったのちに、組織がどのような状況にあるかに応じて、目標を設定していきます。

ここでいう情報資産とは紙やデータ情報はもちろんですが、サーバーやパソコン、USBメモリなどといった物理的な媒体、ノウハウを持った人も情報資産に含まれます。

目標と聞くと、「現状より良い状態に向けてレベルアップしなければならない」というイメージがありますが、情報セキュリティの場合は必ずしもそうではありません。
情報セキュリティにおけるリスクとは、組織の情報資産に対して何かしらの危害が加えられることです。日々、情報資産へのリスクは変わるので、現状のセキュリティレベルを維持するという目標があっても問題ありません。

2.セキュリティ目標とは?

セキュリティ目標とは、情報セキュリティリスクアセスメントの結果から軽減させたいリスクや、現状より伸ばしていきたい取り組みについて目標を掲げ、それを達成するための計画のことを言います。
情報セキュリティの目標の計画には条件がいくつかあります。

・情報セキュリティ方針と適合していること
・実現可能な場合は測定可能であること
・リスクアセスメントやリスク対応の結果を考慮に入れること
・伝達すること
・必要に応じて更新すること

この条件を踏まえてセキュリティ目標を設定する必要があります。

3.「目的」と「目標」の違い

よくある質問で、目標と目的の違いがわからないといわれます。
目的とは、最終的に目指す理想の状態や実現したいゴールのことを意味します。
目標は目指すべきゴールに向けた計画のことを言います。

つまり、目指す理想のために具体的に何をしたらいいのかを設定したものが目標です。
目的を達成するための目標は必ずしも1つではありません。目標は、プロセスごとや部署ごとに設定しても良いので、複数存在することもあります。

プロのコンサルタントがお悩みをお伺いします。
お気軽にご相談ください。

4.セキュリティ目標の具体例

セキュリティ目標の具体例でよく耳にするものとして、「セキュリティインシデント0件」があります。
セキュリティインシデントとは、組織で保有している情報のセキュリティを脅かす事象のことを指します。メールの誤送信や紛失といったものも含まれます。
「セキュリティインシデント0件」という目標は、様々な部門共通の目標として設定しやすいです。

そのほか、部門ごとに目標を設定する場合もご紹介します。

お客様の情報を取り扱う部署
・お客様情報の取り扱いルール整備

システムやインフラの管理を行っている部署
・アクセス権限のレビュー
・PC監査の実施
・クラウドサービスの適切な評価

従業員情報を扱う部署
・入退社の際の個人情報取り扱い手順整備

財務・経理部門
・請求書ミス、振込ミス0件
・財務データのバックアップ、復旧手順の見直し

このように部署ごとに適切な目標を設定することにより組織全体でセキュリティの意識を上げることができます。

5.目標は定量じゃないとダメ?

セキュリティ目的の設定条件に、測定可能であることが挙げられています。
しかし、これは、実現可能な場合を指しているので、数値を入れた目標設定が難しい場合は、必ずしも数値を入れる必要はありません。

とはいっても、数値目標での設定の方が組織に伝わりやすくわかりやすいという点では、数値で判定できる目標設定が良いかもしれません。

6.セキュリティ目標は5W1Hが大切

目標を達成するためには、具体的な計画が必要になります。
先ほど例にあげた請求書ミス、振込ミス0件という目標を設定するのであれば、以下の項目を具体的にしておくことが必要です。具体的に内容が決まっていると普段の業務に取り入れやすくなります。

・何をするのか      :ダブルチェック
・どのような資源が必要か :人
・責任者は誰か      :経理部長
・完了の時期       :毎月〇日まで
・結果の評価方法     :ミスの有無

7.目標を決めたらPDCAサイクルを回すだけ

組織の状況に合わせて目標を決め、具体的な内容まで落とし込めたら実行し、取り組みの評価を行い改善していくのみです。

実行した内容がやりにくいと感じたり、効果がなかった場合は、次年度は変更をすると良いでしょう。
現状を維持する目標を次年度も設定することも可能です。

まとめ

情報セキュリティ目標は、組織の抱えるリスクを把握したり、より良い活動を続けていくうえで必要な活動を明確にして達成できる仕組みです。

組織の状況を踏まえた目標設定のその他の事例が必要であれば、専門的な知識を持っているコンサルティング会社への相談をしてみることが近道になるかもしれません。
ぜひお気軽にお問い合わせください。

プロのコンサルタントがお悩みをお伺いします。
お気軽にご相談ください。

ISO・Pマーク(プライバシーマーク)に関することなら
何でもお気軽にご相談ください

認証パートナーロゴ

0120-068-268
お電話受付:平日9:30〜18:30

5営業日以内にお届け!

新規取得・運用別に
役立つ資料をお届けします

新規認証や運用・更新にあたって当社が何を請け負うか、
わかりやすい資料でご検討の参考にしてください。

役立つ資料をお届け

ISMS(ISO27001)認証パートナー
サービスのご案内

認証パートナーロゴ

認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。