アイソス No.249 2018年 8月号　　95

認証機関が明かすシンプルで柔軟な ISMS（ISO/IEC 27001）実施のポイント

⑤ トップマネジメントが確立する情報セ

　 キュリティ目的に加えて、関連する部門

及び階層において、情報セキュリティ

目的を確立することが要求されること。

⑥ 情報セキュリティ目的が満たすべき事

項、及び情報セキュリティ目的をどのよ

うに達成するかについて組織が決定

すること。

　全てが情報セキュリティ目的の一点に

集約されていることが理解できます。（図

表１参照）

　 て設定したものであり、情報セキュリ

ティリスクアセスメント及び情報セキュリ

ティリスク対応は“情報セキュリティ目

的”に対して実施すること。情報セキュ

リティリスクアセスメントは、リスクの定義

から“情報セキュリティ目的に対する不

確かさの影響をアセスメントする”こと。

④ 情報セキュリティリスクアセスメントにお

いて、資産及び資産の管理責任者、

脅威、並びに脆弱性の特定の代わり

に、情報の機密性、完全性及び可用

性の喪失に伴うリスクを特定すること。

　今回はISMS活動を推進するうえで最

も重要なポイントとなる“情報セキュリティ

目的達成計画の策定とパフォーマンス評

価”について説明します。

　リスクと機会に対処する活動計画とリ

スク対応計画の違いについて前号(月刊

アイソス７月号)で説明しましたが、この２

つの計画と情報セキュリティ目的達成計

画との関係を明らかにする必要がありま

す。そして、目的達成計画において目的

を明確にすることは、パフォーマンスの測

定と評価に結びつき、PDCAサイクルの

有効性を向上させる重要なポイントになり

ます。

　

１． 前号(月刊アイソス７月号)のまとめ

（１）JIS Q 27001 解説 4.8 には“計画”

について非常に有意義な内容が記述さ

れていますので、それを箇条書きに整理

しました。

① 4.1の内外の課題及び4.2の利害関

係者要求を考慮してリスクと機会を決

定すること。

② リスクが“目的に対する不確かさの影

　 響”と定義されたこと。

③ “目的”は“情報セキュリティ目的”とし

認証機関が明かすシンプルで柔軟なISMS（ISO/IEC 27001）実施のポイント

執筆／株式会社日本環境認証機構 審査部 参事　山口 元之

第5回　情報セキュリティ目的達成計画の策定とパフォーマンス評価

96　　アイソス No.249 2018年 8月号

a) リスク(risk)及び情報セキュリティリ

スク(information security risk)

　箇条6 には、リスク及び情報セ

キュリティリスクの二通りの記述があ

る。ここに至るまでのSC27/WG1

会議での議論の経緯を、順を追っ

て次に示す。

1) まず、リスクの定義について議

論された。リスクの定義は、附属書

SLでは、“不確かさの影響(effect

of uncertainty) ”としているのに

対して、ISMSにおいては、ISO

31000 との整合を図り、“effect

o f uncerta inty”の後ろに“on

objectives”が必要であることから、

附属書SLから逸脱して、“目的に

対する不確かさの影響(effect of

uncertainty on objectives)”とした。

2) 次に、情報セキュリティリスクアセ

スメント及び情報セキュリティリスク対

応を、箇条6 (計画) 又は箇条8 (運

用) のどちらに規定するかについて

議論があった。改訂作業の当初は、

箇条8 に規定する方向で検討され

ていたが、投票を行った結果、箇条

6 に規定することになった。

3) 最後に、箇条6 のリスク及び情

報セキュリティリスクという二通りの

記述について議論があった。箇条

6 では、ISMSを計画するために取

（２）リスクと機会(一般)とリスクアセスメント/

リスク対応の違いと特徴を整理しました。

　6.1.1 リスクと機会に対処する活動(一

般)が組織や事業全体に関する幅広い

観点からの課題を特定してリスクと機会

に対応することを要求していることに対し

て、6.1.2/6.1.3 リスクアセスメント/リスク

対応計画では、情報資産の機密性・完

全性・可用性を喪失する情報セキュリティ

リスク(事象)を特定し、影響度と発生可

能性によるリスク評価し、附属書A管理策

によりリスク対応することを要求していま

す。両者はリスクの質が異なり対応方法

も異なっていること、ただし特定→分析・

評価→計画策定というプロセスは類似し

ていること、守りと攻めの両方の観点での

取組みが必要なことなどを説明しました。

　

２． JIS Q 27001 解説３．審議中に特に問題になった事項

　「JIS Q 27001 解説３．審議中に特に

問題になった事項」は非常に興味深い

内容を多く含んでいます。

JIS Q 27001 解説

３．審議中に特に問題になった事項

3.1 対応国際規格の審議中に特に

問題になった事項

り扱うリスクを規定しており、前者を

組織全体のリスク、後者を情報セ

キュリティリスクとして明確に区別す

る必要があるのではないかという意

見があった。これについて議論及び

投票を行った結果、情報セキュリティ

リスクはISMSのリスクに含まれる

(integrated) ことから、両者を区別す

る必要はないという結論になった。

　 1 )において、リスクの定 義がI S O

31000 (リスクマネジメント − 原則及び

指針) に整合され“目的に対する不確か

さの影響”として定義されたこと。リスクが

“目的”に関連していることが明確にさ

れ、リスクと機会への対処計画もリスクア

セスメント/リスク対応計画も、全て目的に

結びついていることが理解できます。

　2)において、情報セキュリティリスクアセ

スメント及び情報セキュリティリスク対応が、

当初箇条8 (運用)に置かれ、その後箇条

6 (計画) に変更され、最終的に投票で決

定したことが分かります。箇条８（運用）に

置く理由は、共通マネジメントシステムの基

本構造として、内外の課題や利害関係者

要求へのリスクと機会が計画（Plan）であ

り、個別の情報セキュリティリスクアセスメン

トとリスク対応は運用（Do）と考えたと思わ

れます。箇条６（計画）に置く理由は、情報

資産を保護するリスクアセスメント/リスク対

アイソス No.249 2018年 8月号　　97

認証機関が明かすシンプルで柔軟な ISMS（ISO/IEC 27001）実施のポイント

３． JIS Q 27001 6.2 情報セキュリティ目的達成計画

6.2 情報セキュリティ目的及びそれを達成するための計画策定　組織は、関連する部門及び階層において、情報セキュリティ目的を確立しなければならない。　情報セキュリティ目的は、次の事項を満たさなければならない。a) 情報セキュリティ方針と整合して

いる。b) （ 実行可能な場合）測定可能で

ある。c) 適用される情報セキュリティ要求

事項、並びにリスクアセスメント及びリスク対応の結果を考慮に入れる。＜途中省略＞

　組織は、情報セキュリティ目的に関する文書化した情報を保持しなければならない。　組織は、情報セキュリティ目的をどのように達成するかについて計画するとき、次の事項を決定しなければならない。f) 実施事項g) 必要な資源h) 責任者i) 達成期限j) 結果の評価方法

ティリスク”として明確に区別する必要が

あるのではないかという意見があったこと

は、非常に重大な問題提起だったと考え

られます。

　規格要求において6.1.1 リスクと機

会（一般）が組織全体のリスク、6.1.2/

6.1.3 情報セキュリティリスクアセスメント/リ

スク対応計画が情報セキュリティリスクに

該当すると思われます。

　これは、上記2) とも関係するのです

が、個別のリスクの観点に加え、組織全体

のリスクという考え方は、共通マネジメントシ

ステムが目指す方向と一致していると考え

られます。

　従来の規格要求は個別の問題に焦点

をあてて成果を上げてきましたが、全体に

ついてはあまり触れられていなかったと思

われます。

　組織運営において、個別の問題と全

体の問題はどちらも重要です。部門が頑

張っても全体計画が不十分では環境変

化への対応を誤る可能性があります。全

体計画が立派でも部門の活動が不十分

では成果が期待できません。

　“組織全体のリスク”と“情報セキュリ

ティリスク”の区別は、規格として最終的

に採用されませんでしたが、組織における

計画策定と運用において両面から検討

することにより、ISMSの有効性をさらに

高めることができます。

応計画はISMSの根幹となる要求であり、

旧ISMS規格においても計画に位置づけ

られていたこと、適用宣言書との結びつ

けが必要なことなどから、箇条6（計画）に

置くべきと考えたと思われます。

　最終的には、箇条6.(計画) 6.1.2/

6.1.3にリスクアセスメント/リスク対応計画

が置かれ、箇条8.(運用) 8.2/8.3にも情

報セキュリティリスクアセスメントの実施とリ

スク対応計画の策定が置かれることにな

りました。

　QMS(品質マネジメントシステム)で考える

と分り易いのですが、製品を設計開発す

る場合において計画の要素も多いのです

が箇条8.(運用)に置かれています。なぜな

らば個別の製品だからです。箇条6.は組

織やマネジメントシステム全体の計画、箇

条8.(運用)は部門における計画と運用を

含むとも考えることもできます。

　従って8.(運用)においては、全体の計画

を展開した部門の計画に加え、部門の特

徴や変化を踏まえた個別案件のリスクアセ

スメント/リスク対応を、部門として実施する

ことも考えられます。6.1.2/6.1.3は全体とし

て、8.2/8.3は部門として、両面からリスクア

セスメントとリスク対応を行うことにより、有

効度をさらに高めることができます。

　3) において、箇条6.の“リスク”と“情報

セキュリティリスク”について、前者を“組

織全体のリスク”、後者を“情報セキュリ

98　　アイソス No.249 2018年 8月号

標を一つ設定するとしても、それを達成す

るための多くの小さな目標を設定して、目

標実現の道筋の多様性を確保し、複合

的に目標達成に向けた活動を展開するこ

とにより、目標達成の確実性を向上させる

ことができます。（図表２参照）

４． 組織のプロセスへの統合と文書化要求について

5 リーダーシップ5.1 リーダーシップ及びコミットメントa) 情報セキュリティ方針及び情報セ

キュリティ目的を確立し、それらが組織の戦略的な方向性と両立することを確実にする。

b) 組織のプロセスへのISMS要求事項の統合を確実にする。

6.1 リスクと機会6.1.1 一般　組織は次の事項を計画しなければならない。d) 上記によって決定したリスク及び

り、その進捗管理やパフォーマンス管理に

おいても分かりやすくなると考えられます。

　

(4) リスクと機会に対処する活動のう

ち、定期的に実施するものについては、

ISMS年間活動計画を作成して運用して

いる組織様がほとんどですが、定期的な

活動においても目的があり目的設定が可

能です。定期的な活動においても目的達

成状況を評価し次の改善につなげること

が必要です。

　

(5) 計画を策定し実施するときに、目的

（目標）を設定することは当然のことで

す。目的のない計画は単なる予定でしか

ありません。目的達成を目指して活動を展

開し、パフォーマンス（成果）を測定・評価

することが必須になります。

　

(6) 目標は一つに絞って集中するべきと

の考え方もありますが、何事も目標が一つ

では広がりや厚みに欠けるように感じて

います。全てが目的を達成するための計

画であり、多くの目標を設定して活動の幅

と厚みを増やすことができます。大きな目

(1) 情報セキュリティ目的は、次の３つの

観点から導かれることになります。（図表１

参照）

①ト ップマネジメントが確立する情報セキュ

リティ方針からの情報セキュリティ目的

② 情報セキュリティ要求事項（リスクと機会

への対応）からの情報セキュリティ目的

③ 情報セキュリティリスクアセスメントとリス

ク対応からの情報セキュリティ目的

　

(2) 実施事項、資源、責任者、達成期限、

結果の評価方法など、具体的な計画策

定項目は、この規格6.2だけに記述されて

いることから、6.1.1リスクと機会に対処す

る活動も、6.1.3情報セキュリティリスク対

応も、出所を明確にしたうえで最終的には

6.2情報セキュリティ目的として計画を策定

して運用することが可能と判断されます。

　

(3) リスクと機会対応計画、リスク対応計

画、目標達成計画を別々に作成している

組織様がありますが、厳密に区分すること

は難しく、重複が発生して運用しづらい状

況が見られます。計画を一元的に管理す

ることにより、ISMS活動内容が明確にな

図表２

アイソス No.249 2018年 8月号　　99

認証機関が明かすシンプルで柔軟な ISMS（ISO/IEC 27001）実施のポイント

評価の実施者　

　JIS Q 27000 に興味深い用語の定

義があり、参考にすることができます。

2.5.9 パフォーマンス（performance）

測定可能な結果

　注記１　パフォーマンスは、定量

的又は定性的な所見のいずれにも

関連しうる。

　注記２　パフォーマンスは、活動、

プロセス、製品（サービスを含む）、シ

ステム、又は組織の運営管理に関

連しうる。

2.2.4 有効性（effectiveness）

計画した活動を実行し、計画した結

果を達成した程度

2.5.0 測定方法(measurement

method)

　注記　測定方法の類型は、属性

を定量化するために使う操作の性

質による。これには、次の二つの類

型がある。

—　 主観的　人間の判断を含んだ

定量化

—　 客観的　数値的な規則に基

づいた定量化

重要事項（4.1/4.2、6.1.1など）が散見さ

れますが、規格要求への適合を立証する

には、組織様は組織自身のプロセスで規

格要求を満たしていることを説明する責

任があり、審査員はそれを確認する義務

があります。

５． JIS Q 27001 9 パフォーマンスの評価

9 パフォーマンスの評価9.1 監視、測定、分析及び評価　組織は、情報セキュリティパフォーマンス及びISMSの有効性を評価しなければならない。　組織は、次の事項を決定しなければならない。a) 必要とされる監視及び測定の対

象。これには、情報セキュリティプロセス及び管理策を含む。

b) 該当する場合には、必ず、妥当な結果を確実にするための、監視、測定、分析及び評価の方法　

　＜注記　省略＞c) 監視及び測定の実施時期d) 監視及び測定の実施者e) 監視及び測定結果の、分析及び

評価の時期f) 監視及び測定結果の、分析及び

機会に対処する活動e) 次の事項を行う方法1) その活動のISMSプロセスへの

統合及び実施　＜以下省略＞

　5.1 では a) 方針と目的が組織の戦略

的方向性と両立することを要求し、さらに

b) において ISMS要求事項を組織のプ

ロセスに統合することを要求しています。

この二つは共通マネジメントシステムにお

ける最重要な要求と考えられます。

　6.1.1 リスクと機会(一般)に対処する活

動計画では、逆にISMSプロセスに統合

することを要求しています。組織や事業

に関する内外の課題に対するリスクと機

会への対応は対象の幅が広く、規模・所

管・役割の違いにより、経営計画、事業

計画、部門計画など組織自身のプロセス

で対処することも当然考えられます。従っ

てISMSとしての文書化要求はありませ

んが、この場合にはISMSプロセスに統合

(関連付け)しておくことが必要になります。

　なお、6.2 では“情報セキュリティ目的に

関する文書化した情報を保持しなければ

ならない”との要求がありますが、特定した

複数の目的を文書化した上で、具体的な

達成計画は組織自身のプロセスに組み

込んで実施することも当然考えられます。

　新規格では組織のプロセスへの統合

を要求しているため、文書化要求がない

100　　アイソス No.249 2018年 8月号

が組織の向上につながります。

　共通化された新しいISMSの要求は、

組織の戦略的方向性と両立させ、ISMS

を組織のプロセスに統合し、パフォーマン

スを上げ、最終的に経営や事業に役立

てることが最大の要求と考えられます。新

しい規格は、文面上では分かり難い面も

残されていますが、その趣旨や狙いは極

めて明確です。目的を明確にした計画策

定→運用→測定・評価→改善活動のシ

ンプルで分かりやすいPDCAを構築・運

用し、組織の更なる発展に結びつけるこ

とが期待されます。▼

量化より先に記述されています。

　

(4) 目標設定において、件数、実施率、達

成率などの数値目標は客観性がありま

すが、それに加えて内容に踏み込んだ人

間の判断を含んだ主観的な目的（目標）

も設定することも可能なことが理解でき

ます。定量的な測定評価はパフォーマン

ス測定・評価の前提条件になりますが、

ISMS活動が定着した組織様が更なる

発展に結びつけるためには、内容に踏み

込んだ定性的・主観的な評価が必要に

なってきます。その意味で、定量的な測

定と評価だけでなく、定性的で主観的な

評価を加えることにより、特に成熟した組

織様においてPDCAのサイクルの有効度

を更に向上させることが可能になります。

（図表３参照）

　

(5) 目的(目標)が未達成の場合には原因

の追究と対策が実施されますが、目的(目

標)を達成して評価が‘〇’となった場合

に、そこで終わってしまう組織様が多く見

られます。目的を達成したとしても、なぜ

達成できたのか、追い風や偶然はなかっ

たのか、どのような工夫や努力が成果に

結びついたのか、達成要因を追究・評価

し、更なる改善や展開に結びつけること

(1) “パフォーマンス”は“測定可能な結果”

であり、意図した成果の達成状況です。

　“有効性”は“計画した活動を実行し、

計画した結果を達成した程度”とあり、実

施状況と結果の達成状況の両方を含ん

でいることが分ります。

(2) 規格主文は“情報セキュリティパフォー

マンス”及び“ISMSの有効性”を評価す

ることを要求しています。a) において“監

視及び測定の対象には、情報セキュリティ

プロセス及び管理策を含む”と記述され

ていることから、プロセス及び管理策を監

視測定の対象と考えている組織様もあり

ますが、あくまで最重要な評価対象はパ

フォーマンスです。ただし、パフォーマンスだ

けでは結果だけの評価になってしまうた

め、情報セキュリティプロセス及び管理策を

“含む”と注記し、実施状況の有効性を

付け加えています。

　

(3) “パフォーマンス”や“測定”という言葉

は、定量的な数値と捉えがちですが、パ

フォーマンスの定義では、定量的だけでな

く定性的な所見を含むことが明記されて

います。測定方法(measurement method)

の定義においても、主観的で人間の判断

を含んだ定量化が、客観的な数値的な定

名古屋大学経済学部卒業。１９７６年中央信託銀行株式会社入社。営業店経験後、証券系システムの開発、各種システム基盤の構築と運用管理を経験。情報処理システム監査技術者合格後、業務監査・システム監査に従事。２００４年株式会社日本情報セキュリティ認証機構入社ISMS審査に従事。現在は株式会社日本環境認証機構にてISMSに加えQMS主任審査員EMS審査員として統合マネジメントシステムの審査にも従事。

株式会社日本環境認証機構 審査部 参事

山口 元之

図表３