【4.1 組織及びその状況の理解】組織の状況を把握して組織の内外の課題を明確にしよう!

2022年11月1日

箇条4では,組織を取り巻く情報セキュリティの状況や利害関係者のニーズ・期待を理解したうえで,ISMSを組織のどの範囲に適用するかを定めるよう要求しています。

この記事では,「4.1 組織及び状況の理解」について,規格要求事項の解説と併せて,ISMSの構築・運用や文書化の際のポイントを具体例や文書例を挙げながら解説します。

規格要求事項の解説

「4.1 組織及び状況の理解」では,ISMSを構築・運用するにあたり,その組織の理念や運営方針に関連し,かつ,その組織が情報セキュリティに取り組む目的の達成に影響を及ぼす組織の内外の課題を明確化することが求められています。

規格要求事項

4.1 組織及びその状況の理解

組織は,組織の目的に関連し,かつ,そのISMSの意図した成果を達成する組織の能力に影響を与える,外部及び内部の課題を決定しなければならない。

注記 これらの課題の決定とは,ISO 31000:2009(JIS Q 31000:2010)の5.3に記載されている組織の外部状況及び内部状況の確定のことをいう。

ISO/IEC 27001:2013(JIS Q 27001:2014)
ミナライさん

「ISMSの意図した成果」ってなんのことですか?

「組織が情報セキュリティに取り組む目的」と考えていいだろう。

規格本文の “0.1 概要” に “ISMSは,リスクマネジメントプロセスを適用することによって情報の機密性,完全性及び可用性を維持し,かつ,リスクを適切に管理しているという信頼を利害関係者に与える” と書かれているけど,これも「ISMSの意図した成果」ということができるだろう。

マスター
ミナライさん

ISMSの認証取得は成果ではないんですか?

認証を取得することが目的となってはいけないけど,規格には “この規格は,組織自身の情報セキュリティ要求事項を満たす組織の能力を,組織の内部で評価するためにも,また,外部関係者が評価するためにも用いることができる” と書いてあることからも国際標準に適合したISMSが構築されているとの評価の証である認証取得も成果の一つと言えそうだね。

マスター
ミナライさん

内外の課題を明確にする理由はなんですか?

ここで決定された組織の内外の課題は,「4.3 情報セキュリティマネジメントシステムの適用範囲の決定」のインプットになるんだよ。組織がISMSを適用する範囲を決めるための要素となるので,ISMSの構築・運用するうえでとても重要なんだ。

マスター

外部の課題(外部状況)

外部の課題としては,組織を取り巻く社会的・経済的・地理的な環境や組織が属する業界の情報セキュリティの状況のほか,法令や規制に関する課題,利害関係者の情報セキュリティに関する要求事項や契約上の義務が挙げられます。以下に,外部の課題を例示します。

  • 法規制の強化への対応
  • 情報通信技術の進展に伴う事業環境の変化
  • サイバー攻撃の巧妙化など脅威の高度化
  • 情報セキュリティに対する社会意識の変化
  • 顧客の情報セキュリティ要求の高まり

内部の課題(内部状況)

内部の課題としては,方針,目的,組織体制のほか,その組織が果たすべき社会的責任や組織の事業環境における情報セキュリティへの投資などが挙げられます。以下に,内部の課題を例示します。

  • 従業員の情報リテラシーの維持・向上
  • 組織の情報セキュリティ推進人材の育成
  • 情報セキュリティについての組織文化・風土の醸成
  • 情報システムの複雑化

「4.1 組織及び状況の理解」では,注記としてJIS Q 31000:2010の5.3を参照してますが,これは,規格要求事項である”外部及び内部の課題を決定しなければならない”を理解するうえでの参考となります。

5.3 組織の状況の確定

5.3.2 外部状況の確定
外部状況とは,組織が自らの目的を達成しようとする状態を取り巻く外部環境である。
(中略)
外部状況には,次の事項を含むことができる。ただし,これらに限らない。
−  国際,国内,地方又は近隣地域を問わず,社会及び文化,政治,法律,規制,金融,技術,経済,自然並びに競争の環境
−  組織の目的に影響を与える主要な原動力及び影響
−  外部ステークホルダとの関係並びに外部ステークホルダの認知及び価値観

5.3.3 内部状況の確定
内部状況とは,組織が自らの目的を達成しようとする状態を取り巻く内部環境である。
(中略)
内部状況を理解する必要がある。これらには,次の事項を含むことがある。ただし,これらに限らない。
−  統治,組織体制,役割及びアカウンタビリティー
−  方針,目的及びこれらを達成するために策定された戦略
−  資源及び知識として把握される能力(例えば,資本,時間,人員,プロセス,システム,技術)
−  内部ステークホルダとの関係並びに内部ステークホルダの認知及び価値観
−  組織の文化
−  情報システム,情報の流れ及び意思決定プロセス(公式及び非公式の両方を含む。)
−  組織が採択した規格,指針及びモデル
−  契約関係の形態及び範囲

ISO 31000:2009(JIS Q 31000:2010)

ISO 31000は,2018年版(JIS Q 31000は,2019年版)が最新版です。

構築・運用のポイント

「4.1 組織及び状況の理解」では,文書化は要求されていないので,内外の課題を明確化した際の記録の保存は求められていません。ただし,ISMS認証審査のトップインタビューの中で,トップマネジメントに対して組織の内外の課題についてインタビューされるので,資料としてまとめておくとよいでしょう。

また,明確化した組織の内外の課題は「6.1 リスク及び機会に対処する活動」におけるISMSの計画を策定する際のインプットにもなるので,内外の課題をしっかり把握しておくことが有効なISMSを構築・運用するうえで重要となります。

-4 組織の状況
-, , ,