見出し画像

『これからISMSを取ろうとしている担当者様へ』ISO規格とは?について解説

エンジニアブログ by DENKOSHA

当ブログでは今後、ISMSに関する記事を上げていきます

当ブログでは、今後ISMS(情報セキュリティマネジメントシステム)に関する記事を多数投稿していく予定です。
現在、日本でもセキュリティへの関心が高まっており、ISMSの認証取得を検討している企業も少なくないでしょう。しかし、「何から手を付ければ良いのかわからない」「ISMSの内容が複雑で理解しにくい」「具体的にどういう対策を施せば良いのかが明確でない」といった悩みを持つ声が多く寄せられています。
これらの問題に対処するため、まずはISMSの基礎となるISO(国際標準化機構)について、わかりやすく解説していきたいと考えています。

ISOとは

ISO(International Organization for Standardization、国際標準化機構)は、国際的な標準を制定する組織です。ISOは、製品、サービス、技術、およびプロセスに関する世界的な標準を策定しています。これにより、世界中のビジネスや産業の効率性、品質、信頼性、互換性が向上します。
ISOが制定する標準はさまざまな分野にわたっており、品質マネジメント(ISO 9001)や環境マネジメント(ISO 14001)、情報セキュリティ(ISO/IEC 27001)などがあります。これらの標準は、国際的な取引や協力を促進し、企業や組織がより効率的かつ効果的な運営を行うのに役立ちます。

ISO規格が使われている身近な例

ISO規格は生活の様々な面で用いられています。
非常口のマークやカードのサイズ、ネジの規格など、私たちが日常的に使用しているものの多くがISO規格によって定められています。

引用:総務省消防庁
https://www.fdma.go.jp/singi_kento/kento/items/kento207_22_sankou5-8.pdf

ISO規格の例をあげると、以下のものがあります。
ISO 7810
(カードの物理的特性):クレジットカードや銀行カードなどの身分証明書のサイズを規定しています。一般的なサイズはID-1(85.60 × 53.98 mm)です。
ISO 8601
(日付と時間の表記):国際的に統一された日付や時間の表記方法を定めています。例えば、2024年4月18日は「2024-04-18」と表記します。
ISO 128
(技術製図の標準):技術文書や製図における線の種類、幅、寸法表示などの標準を定めています。
ISO 216
(紙のサイズ):A4(210 × 297 mm)、B5(176 × 250 mm)など、紙のサイズの国際標準を定めています。
ISO 4046
(紙と板紙の用語):紙や板紙に関する用語と定義を規定しています。
ISO 7-1
(パイプねじ):管用テーパねじと平行ねじのための寸法、公差、及び指定方法を定めています。
ISO 15223-1
(医療機器のラベルに関するシンボル):医療機器のラベルや包装に使用されるシンボルとその意味を規定しています。
これらの規格は、製品やサービスの国際的な互換性を高め、品質と安全性を保証する上で重要な役割を果たしています。
このように、私たちが普段何気なく使っている様々なものにISO規格が使われているのです。

ISMSはその中のマネジメントシステム規格の一つ

これまでに、様々なISO規格を説明させてもらいました。
その中でも『マネジメントシステム規格』と呼ばれるものがあります。
ISMSもその『マネジメント規格』の中の一つであり、組織が特定の目的を達成するために、その組織のプロセスや手順をどのように管理し、改善していくかについての指針や要件を定めた国際規格です。これらの規格は、組織が効率性、効果性、そして顧客満足度の向上を目指す上で、システマティックにアプローチする方法です。

マネジメントシステム規格の例には次のようになります。
ISO 9001(品質マネジメントシステム): 組織が顧客満足度を高め、適用される法令や規制要件を満たしながら、一貫した品質を提供するための枠組みを提供します。
ISO 14001(環境マネジメントシステム): 組織が環境に与える影響を管理し、継続的に改善するための枠組みです。
ISO/IEC 27001(情報セキュリティマネジメントシステム): 情報の保護、機密性、完全性、及び可用性を確保するための枠組みです。
ISO 45001(労働安全衛生マネジメントシステム): 労働者の安全と健康を保護し、職場での事故や病気を防止するための枠組みです。
これらの規格は、組織が特定の領域でのパフォーマンスを向上させ、リスクを管理し、効率を高めるのに役立ちます。また、顧客や他の利害関係者に対して、その組織が国際的な基準に沿って運営されていることを示すことができます。

ISOマネジメントシステム規格の特徴

ISOマネジメントシステム規格は、ビジネス環境や利害関係者からの要求の変化に応じて、組織が直面する様々なリスクや課題に対処するための規格を開発していることが特徴です。これにより、組織は国際的なベストプラクティスに基づいて運営を行い、効率的かつ効果的な管理システムを構築することができます。
組織が持続可能な発展を遂げるためだけでなく、利害関係者や顧客からの信頼を獲得し、法的要件への準拠を確保する手段としても機能します。また、ISOは継続的な改善と適応を促すことで、変化する市場環境や技術の進歩に対応しやすくしています。
実際に、ISMS、ISO/IEC 27001(情報セキュリティマネジメントシステム)は2013年度版から2022年度版へと更新されました。IT技術の発展や世の中の情勢によりセキュリティ対策も変わっていく必要があります。
そのセキュリティ情勢に合わせた変更となります。

PDCAサイクル

ISMSの基本を理解する上で、PDCAサイクルの役割とそのプロセスの重要性を把握することは欠かせません。ISO規格においてPDCAサイクルは組織の持続的な改善の核心を成す手法です。組織がこのサイクルを効率的に回すことができなければ、ISO規格の要求事項に沿った改善を達成することは難しいでしょう。
PDCAサイクルは以下の四段階で構成されています。
計画(Plan): 改善が必要な領域を特定し、その目標を設定し、目標達成のための具体的な計画を策定します。この段階では、現状の分析と目標の明確化が非常に重要です。
実行(Do): 策定した計画に基づき、具体的なアクションを実施します。この段階では、小規模なテストを含め、計画の有効性を検証することが目的です。
チェック(Check): 実施したアクションの結果を評価し、目標達成度を測定します。このプロセスでは、データの収集と分析が行われ、計画の成果が検証されます。
行動(Act): 評価結果に基づき、プロセスの改善を図ります。目標が達成されていない場合は、その原因を特定し、解決策を講じるための新たな計画を立てます。成功していれば、その成果を組織全体で標準化し、さらなる改善のために新しいPDCAサイクルを開始します。
このサイクルを継続的に回すことで、組織は変化に柔軟に対応し、業務プロセスの効率性と効果性を高めることができます。また、問題解決能力の向上やプロセスの質の継続的な改善にも繋がります。PDCAサイクルは、ISMSを含む多くのISO規格で中核的な要素として採用されており、組織が目指す改善目標の達成に不可欠な手法です。

まとめ

この記事では、ISMS(情報セキュリティマネジメントシステム)への取り組みにおいて基礎となるISO規格について説明しました。ISO規程は、私たちの日常生活にも深く関わり、様々な場面で活用されています。
ISOマネジメントシステム規格は、ビジネス環境や利害関係者の要求が変化する中で、組織が直面するリスクや課題に効果的に対処するために開発されたマネジメント規格の一つです。ISMSでいえば、組織の持続的成長と安全性を確保するために、組織が変化に柔軟に対応し、リスク管理と情報セキュリティの向上を図ることを目指しています。
そして、重要なのは、組織の変化に合わせて計画や運用を適宜調整し、PDCAサイクルを効率的に回すことです。PDCAサイクル(計画-実行-チェック-行動)を通じて、組織は継続的に自身のプロセスを改善することが大切です。
次回の記事ではISMSに関する説明をしていきます。

お知らせ

電巧社ではセキュリティ分野専門のブログも公開しています。ゼロトラストセキュリティを始めとした、ランサムウェアへの対処法等を紹介しています。こちらもよろしくお願いします。