ISO/IEC 27001は、情報セキュリティマネジメントシステム(ISMS:Information Security Management System)に関する国際規格です。国際標準化機構(ISO)と国際電気標準会議(IEC)が共同で策定しており、組織が情報セキュリティを体系的に管理・運用するための枠組みを定めています。
ISO/IEC 27001が重視するのが、情報セキュリティの3要素である「CIA」です。CIAとは、機密性(Confidentiality)・完全性(Integrity)・可用性(Availability)の頭文字を取ったもので、情報セキュリティの根幹をなす概念です。機密性とは許可された者だけが情報にアクセスできる状態、完全性とは情報が正確かつ改ざんされていない状態、可用性とは必要なときに情報へアクセスできる状態を指します。ISO/IEC 27001はこの3要素をバランスよく維持・管理することを目的としています。
ISO/IEC 27001の特徴は、特定の技術や製品に依存しない汎用的な規格である点です。業種・規模を問わずあらゆる組織に適用でき、リスクアセスメントに基づいて自組織に適したセキュリティ対策を選択・実施する柔軟なアプローチが採用されています。また、PDCAサイクル(計画・実行・評価・改善)を継続的に回すことで、変化する脅威に対してセキュリティ水準を継続的に向上させることができます。
ISO/IEC 27001の認証を取得することで、組織が情報セキュリティ管理を適切に行っていることを第三者機関が証明する形となります。取引先や顧客に対して信頼性をアピールできるため、ビジネス上の信頼獲得にも大きく貢献します。
情報漏えいやサイバー攻撃のリスクが高まる現代において、ISO/IEC 27001に基づくISMSの構築と運用は、組織が情報資産を守り、社会的責任を果たすための重要な取り組みといえます。
JIS Q 27001:2014(情報セキュリティマネジメント-要求事項)において、トップマネジメントがマネジメントレビューで考慮しなければならない事項としている組合せとして、適切なものはどれか。
| ア | 前回までのマネジメントレビューの結果とった処置の状況/トップマネジメントが設定した情報セキュリティ目的/内部監査の結果 |
| イ | 前回までのマネジメントレビューの結果とった処置の状況/トップマネジメントが設定した情報セキュリティ目的/発生した不適合及び是正処置の状況 |
| ウ | 前回までのマネジメントレビューの結果とった処置の状況/内部監査の結果/発生した不適合及び是正処置の状況 | エ | トップマネジメントが設定した情報セキュリティ目的/内部監査の結果/発生した不適合及び是正処置の状況 |
マネジメントレビューは、次の事項を考慮する必要があります。
- 前回までのマネジメントレビューの結果とった処置の状況
- ISMSに関連する外部及び内部監査の結果
- セキュリティ対策実行のフィードバック
