<組織の状況>
さて第一回に続き、今回はISO27001箇条4にあたる、組織の状況についてご紹介させて頂きます!
(前回を忘れてしまったという方は下記からどうぞ!!)
ISO27001を分かりやすく!①~適用範囲、引用規格、用語及び定義~ - CyberSEALs’s diary
今回の箇条4は27001のスタートとなる部分です。
言葉というよりも、それが何を指しているのか?のイメージを持って頂くことが重要で、このイメージはCISSP試験でも活きてくると思います!
それでは見ていきましょう~~!
・組織の状況とは? ~箇条4~
-4.1 組織及びその状況の理解
→企業理念を達成するために、ISMSで何をゴールにするか?をしっかりと考え、組織を取り巻く外部・内部環境の分析を行うこと
-4.2 利害関係者のニーズ及び期待の理解
→ISMSのゴールに向かうにあたって、関係してくる可能性のある登場人物を洗い出し、「その人物達がISMSに求めること」を明確にする
何とも法律用語みたいで分かりにくいですが、超シンプルに言えば「目的を明確にしましょう。現状をよく把握しましょう。」みたいなことを言っています。
(↑当たり前のことを言ってますね・・笑)
まずはここまでのイメージをしっかりと持ってください。
上記のようなことをした上で、下記のようなことを決めるんだな~というイメージが大事です!!(^^)!
-4.3 情報セキュリティマネジメントシステムの適用範囲の決定
→最終的にISMSをどの範囲で適用するかを決める。セキュリティリスクの高そうな範囲を適用範囲にするというのも1つだが、4.1、4.2の内容をふまえて適用範囲を決めることが必要になる。(+αですが、適用範囲は文書化する必要があると覚えてください)
-4.4 情報セキュリティマネジメントシステム
→ここは特に気にしなくてOKです。内容的には「4.1、4.2の内容をふまえて適用範囲を決めてISMSを確立して、運用していきなさいよ~」と言っているだけです。
とても基本的なことですが、ISMSは範囲を絞って取得することが可能となっています。例えば、セキュリティ関連部署のみ、開発部署のみ、のようにいきなり全社でISMSをとるのはめちゃくちゃ大変ですし、多くの大手企業でも特定の範囲でISMSを取得しているのが一般的です。
と、このあたりまで覚えて頂ければ良いかなと思ってます!(笑)
また個人的に特に重要なイメージは、
「ISMSは組織の理念に沿って実施をされるものであり、組織が置かれている外部・内部環境と利害関係者の求めることを考慮する必要がある」という感じかと思います。
これもすごい当たり前っぽいんですが、強く意識していないと、ついつい取得することや導入することがゴールとなってしまい、本当のゴールを忘れてしまうものです。
実際の現場でもこのような状況は非常によくみけます。
つまり、組織の理念の達成が1番大事(=ゴール)であり、そこに向かうためには利害関係者には気をつかう(=よく理解する)必要があるよって感じでしょうか(笑)
※メチャメチャ大雑把に言ってしまってますが・・・
今回は以上です!!
少し前に釣りました。さばいて刺身で食べました。最高でした(笑)