ISO/IEC27001 情報セキュリティマネジメントシステム

ISO /IEC27001は「情報セキュリティマネジメントシステム」の要求事項を規定した国際規格です。
BS7799という英国規格を基盤とし、2005年に策定されました。
ISO/IEC27001の目的は、組織が保有する情報を適切に管理し、継続的に改善していくことによって、企業価値を向上させることにあります。

 

近年、情報テクノロジーの飛躍的進歩に伴い、電子化された膨大な情報を保有することが可能になりました。
それに伴い、組織のマネジメントや業務プロセスでも多くの情報を取り扱うようになっています。
一方でそれは不正アクセスやコンピュータウイルス、情報漏えいなど、情報資産にとっての脅威を増加させるばかりか、組織マネジメントや業務プロセスにおいて想定されるリスクの変化も生み出しています。
これらの問題に対して個別に技術的対策を行うだけでなく、組織全体で情報セキュリティの仕組みを構築させていくことは、脅威やリスクから組織を守ると共に、組織の抜本的な業務改革にもつながり、いまやあらゆる組織にとって必須となっています。


情報セキュリティマネジメントシステムとは、このように情報セキュリティの仕組みを組織のプロセス及びマネジメント構造の一部として組み込んでいくことであり、ISO/IEC27001はそのためのフレームワークです。

ISO/IEC27001では情報セキュリティの主な3要素として機密性・完全性・可用性(CIA)を挙げています。

■機密性(Confidentiality):アクセスを認可された者だけが情報に確実にアクセスできること
■完全性(Integrity):情報資産が完全な状態で保存され、内容が正確であること
■可用性(Availability):情報資産が必要になったとき、利用できる状態にあること


組織はこれらの3つをバランスよく維持・改善していくことで、その情報資産を安全に、有効に活用できるとしています。
情報セキュリティマネジメントシステムが適切に運用された結果、組織は顧客や利害関係者からの信頼向上や社員の意識・モラル向上を期待できるでしょう。