No.230　ISO情報セキュリティマネジメントシステムその1

ITコラム
2017年10月30日

ISO 飛鳥　石橋一史によるITコラム
～帝国ニュースに掲載されたものを紹介していきます～

　まずもって大切なのは、すべてのISOマネジメントシステムの冒頭にある“ISOマネジメントシステムの採用は、組織の戦略的決定である”と表現されていることだ。

　この戦略とは、経営に役立つシステムであるべきで、審査のための仕組みではいけないということ。これは、ISOを維持する組織側より、認証に携わる審査員の方が考えておかなければならない。　記録ゞの手続型審査になっていないか！ということだ。

　さて、ISMSというとネットワークとか、IT関係に特化した厄介な管理のシステムと捉えられがちだが、実はそうではないことが［付属書A］の存在だ。品質・環境とか他の規格の付属書は補足説明だが、ISMSには［規格］と定義されている。

　当初、この付属書には134項目のテーマが記述されていたが、2013年に改定されて115項目となっている。ISMSを採用する組織は、それぞれの組織に該当する項目を選んで、具体的な施策を定義していく仕組みとなっている。そして、この［付属書A］に基づいた仕組みを［適用宣言書］と称している。

　品質9001・環境14001・安全18001などは業種ごとに特性が異なるが、組織の情報管理は様々な業種で概ね共通している。従って、この［付属書A］に基づいた仕組みを構築すればよいという訳だ。難を述べればこの付属書、表現が解り難いことだ。来週からこれを分解して解説してみよう。

合同会社ASCA Auditors Society for Conformity Assessment