ISMSの取り組みの第一歩は、組織の状況を理解することから始まります。 組織が抱える「課題」と、組織を取り巻く「利害関係者」を整理し、自組織が、ISMSや情報セキュリティに取り組む意味を改めて考えましょう。その後、このISMSの対象となる「適用範囲」を決定しましょう。
JIS Q 27001 対応箇所
本文 4.1, 4.2, 4.3
組織の状況
組織の状況とは、ISMSに取り組む組織が置かれている状況のことを指します。組織の状況は、以下の3つの要素から成り立ちます。
- 組織の課題では、現在、組織が抱えているセキュリティの課題を明らかにします。これから構築するISMSは、この課題を解決するための取り組みとして位置づけられます。
- 利害関係者のニーズと期待では、組織を取り巻く利害関係者(例えば、従業員や顧客、取引先など)が、自組織に対し、どのようなセキュリティを求めているのかを明らかにします。ISMSは、こういった利害関係者からの期待に答えるための取り組みとして位置づける事もできます。
- これらの2つの要素を明らかにすることで、ISMSの取り組みの意義を明確化できます。取り組みの意義を明確化することは、必然的に適用範囲を明確にすることにも繋がります。
ヒント:
経営陣や、新入社員から「どうして、私たちは情報セキュリティに取り組む必要があるのですか?」「なぜ私たちはISMS認証を取得しているのですか?」と聞かれたときのことを考えてみましょう。その時の回答が、この「組織の状況」に整理されていることが望ましいです。それは、低いセキュリティ意識や文化といった課題かもしれませんし、顧客や取引先などの利害関係者からの期待かもしれません。
組織の課題
組織の課題とは、ISMSに取り組む組織が抱えている課題のことです。組織の課題は、組織内部に存在する「内部の課題」と、組織外部に存在する「外部の課題」に分けることができます。
内部の課題
内部の課題は、以下の情報をヒントに決定することができます。以下の情報は、JIS Q 27000:2014 を参考に記載しています。
- 組織の体制、組織の役割
- 組織の方針、経営戦略
- 組織が持つ経営資源
- 情報システムや、情報の流れ
- 社内のステークホルダーの関係や価値観
- 組織の文化
- 組織を縛る契約
より具体的な例については、「組織の課題」の具体例を確認してください。
外部の課題
外部の課題は、以下の情報をヒントに決定することができます。以下の情報は、JIS Q 27000:2014 を参考に記載しています。
- 周辺の環境の政治体制、法律や規制、技術、経済状況、事業の競争環境
- 組織に影響を与える可能性のある主要な原動力
- 外部のステークホルダーの関係や価値観
より具体的な例については、「組織の課題」の具体例を確認してください。
利害関係者のニーズと期待
利害関係者のニーズと期待とは、組織を取り巻く利害関係者と、その利害関係者が考えている、組織に対する情報セキュリティに関するニーズ(要望)や期待のことです。利害関係者には、以下のようなものが考えられます。
- 取引先
- 国、自治体
- 協会、業界団体
- 個人事業主、フリーランス
- 株主
- 従業員、社員
より具体的な例については、「利害関係者のニーズと期待」の具体例を確認してください。
適用範囲
課題と利害関係者をもとに、適用範囲を決定します。適用範囲の記入には、以下の記事を参考にすることができます。
適用範囲に関するその他のトピックとして、以下の記事があります。