ISO/IEC 27001: これまでの経過
ISO/IEC 27001、情報セキュリティマネジメントシステム(ISMS)規格は、2005年10月に初版が発行されました。2年が経過した今、この規格の発行は成功だったと言えるでしょうか?品質や環境の規格のように、効果的で良く知られた規格となったでしょうか?Pandita Louramが、マネジメントシステム業界におけるISO/IEC 27001の名声は確実なものとなったかどうかを調査します。
ISO/IEC 27001は2005年末にようやく国際規格として発行されました。2005年までは、ISMSの認証を望む組織は国際規格ではなく、英国規格BS 7799パート2への適合を示すことで、同等の認証を得るしかありませんでした。ISO/IEC 27001は、ほとんど全ての商業及び工業市場の業種で、広範囲にわたる組織が-小規模でも、中規模でも、大規模でも-利用することができます 。
ISO/IEC 27001 の実施は、組織内で情報セキュリティが慎重に取り扱われているということで、顧客や供給者に安心を与えるでしょう。なぜなら、組織が井情報セキュリティに関わる脅威や問題に対処するための最先端のプロセスを適切に所有している証拠となるからです。この新規格への認証を得る組織は、以下の事項を満たさなければなりません:
- 全ての活動が、ある方法に沿っていることを実証する-この方法は任意のものであるが、明確に規定され、文書化されなければならない。
- 組織のセキュリティ目的を規定する;審査員はこれらの要求事項が満たされているかどうかを検証するでしょう。
- セキュリティ評価を確立するために、リスク分析の結果を利用する。
- セキュリティの管理策を確立する-これらの管理策は規格内で提案されていますが、事業上のニーズに基づいて実施するために、どの管理策を選択するかは組織に委ねられています。
- 監査及びレビューを通じて、セキュリティシステムの全ての要素を継続的に検証することを確実にするためのプロセスを実施する。
- セキュリティシステムの全ての要素を継続的に改善することを確実にするようなプロセスの実施。
ISO/IEC 27001は品質マネジメントシステム(QMS)規格、ISO 9001と環境マネジメントシステム(EMS)規格、ISO 14001の両方に調和しています。これら3つの規格はPDCAのようなシステムの要素及び原則を共有しています。これは多くの人々の間で議論になるのですが、理解できる範囲で、ある程度までは3つのシステム全てを統合することが可能であり、有益です。
しかし、ISO/IEC 27001の普及はどの程度成功しているのでしょうか?認証は各国ごとに様々です。明らかになったのは、日本の組織からの人気が圧倒的に高いことです。発行以来、1907件の認証書が日本において発行されています。これは世界全体の発行数の58%を占めます。日本に次いで、英国が10%(319件)、インドが8%(269件)、台湾が4%(123件)、ドイツが2%(74件)となっています。アジア地域は、主に日本の勢いから、最も多い2,477件の認証、言い換えれば世界全体の認証の75%を担っています。これに続き、ヨーロッパが682件の認証、つまり全体の21%を占め、他の地域が占める割合はわずか4%です。
2007年2月までに、3,309件のISO/IEC 27001の認証書が世界68カ国において発行されています。これは、この新規格の道のりはまだまだ遠いことを明らかにしていますが、ISO/IEC 27001について結果を議論するには、今はまだ時期尚早です。また、ISO 9000は、発行から6年後の1993年の初め、世界全体の認証数はわずか48カ国、27,816件だったことを心に留めておくのも良いことです 。
最初の6年間で、ISO 9000は年16%の成長を見せました。認証が2005年10月以来と同じような率で発行されるとすると、ISO/IEC 27001の予想される年次成長率はこれより多い25%となります。認証書はまた、モルドバやインドネシアのような発展途上地域を含む、多岐にわたる様々な国において発行されています .
この積極的な普及には多くの理由が考えられます。例えば、QMSやEMSが人気を確立したことや、組織が徐々に情報、特に電子情報に依存するようになったこと、そして情報の機密保持と安全を確保する必要が生じたことです。世界中の組織、特にアジアの組織が、長期にわたる認証がもたらす便益を認識するようになっていることも理由の一つです 。
情報セキュリティのコンサルティング企業であるGamma社によって実施された調査が、情報を保護する必要性を証拠づけています。Gamma社は1998年から2006年にかけて、延べ4363の組織に対し調査を行いました。この結果、企業にとって、情報の機密性がどの程度重要なのかは、業界や企業規模には関係ないことがわかりました。29%の組織が、顧客が貧弱な情報セキュリティにより悪影響を被った場合、顧客は組織を訴えるであろうと報告しました。また、27%の組織は、顧客は企業の情報セキュリティに対するアプローチを監査または確認したいと考えていると述べ、48%は顧客が、少なくとも組織のセキュリティに関して質問をするであろう、と述べています。もし、平均的な顧客ベースの半分近くが情報セキュリティに関する関心を持っているとしたら、この規格がこれまで普及を続けていることに不思議はありません 。
情報に対するあいまいな態度による潜在的な被害は、過小評価されるべきではありません。米国の小売企業TJX社の英国支社であるTK Maxx社のような小売大手は、最近、ハッカーにより少なくとも4,570万件の顧客の支払い用カードから情報が盗まれ、窮地に陥りました。これにより、この規格の必要性がこれまでになく高まりました。Gamma社によると、調査対象となった組織の78%が、機密情報の外部への漏洩に対する率直な懸念を表明しました。この懸念には、ISO 27001の要求事項を実施し、維持することにより対処することができ、実際にこの方法が採用されています 。
この規格は著作権により保護されており、購入が必要となります。ISO/IEC 27001を含むISO 規格に関しては、ANSIhttp://webstore.ansi.orgまでお問い合わせ下さい。
ISO から直接購入することもできます。www.iso.ch をご参照ください。」
この規格に関し、 IRCAが ご提供している項目について詳細を知りたい方は、http://japan.irca.org/certification_8.htmlをご参照ください。
- ITサービスマネジメント及びISO 20000
- 電子ベースのマネジメントシステムを監査する
- ISO 27001 これまでの経過
- パッチプロセスをどのように監査するか
- 内部監査
- Q&A
- マネジメントシステム調査
ISO 27001 規格の成功に関し、ご意見はありますか?多くの審査員がすでに IRCAディスカッションフォーラムにご意見を投稿されています。皆様もコメントをお寄せになり、議論にご参加下さい 。