昔ネットを散策していると、よく「ISMSなんか実装しても大してレベル上がらないよ」という話を見ていたのですけど、これはISMSの一面しか見られなかったのかな？と思っています。

そもそもISMS(ISO/IEC 27001)の主題は、組織のセキュリティレベルを確実に維持管理する事だと思っています。その管理の項目の一つに技術的側面があるわけです。

上記のような話が出てくる場合、セキュリティを見るときの観点が技術的側面のほうに偏ってるかな？　と今は思います（当時はよくわかんなかったｗ

組織のセキュリティレベルを確実に維持管理するために何をしなければならないか、というのがISMSの仕様になっていると思っています。だから技術的な対策のみを考えてISMSの仕様書を読むとがっくりすると思います(笑)。

つまり組織として情報セキュリティというものをどう扱うか。ちゃんと経営陣が判断しているか。情報セキュリティについての見直しがされているか、組織のルールとして確立されているかなどが先ず重視されているんです。

それらの体制を実装する上で、その体制やプロセス、情報資産をどう守るか。セキュリティの技術的側面が出てくるのは主にここです。これが詳細管理策として定義されるわけです。詳細管理策は規格上定義されている項目が133項目あります。これを組織の業務上必要な項目をピックアップして、通常規程化します。余談ですが、特定の詳細管理策を採用しないこともできますが、あくまで対象の業務が無い場合などです。採用しない場合は必要がない適正な理由を明記しなければなりません。

詳細管理策は技術的側面のみにフォーカスしたものではありません。組織としてどうするか、という全体的なものになります。また記載されている内容もそれを見ただけで実行可能なほど具体的ではありません。よって、詳細管理策の実現方法はその組織で考案する必要があります。

技術的側面の対策が足りない、と感じるのであれば、詳細管理策をどう実装するかを細かく規程したり、あるいは詳細管理策を追加してしまえば良いわけです。よって技術的対策をどう行うかは、詳細管理策の項目を満たした上で、組織によってカスタマイズされます。

構築する側でISMSに何を期待するか、という表題の件ですが、思いつくままに書いてみます。

これまで書いたように組織として確実かつ適正に情報セキュリティの活動を行っていけるようになることや、規格上の活動を行うことによって対策の漏れが減っていくこと、教育を行ったり、規程にすることで全体のセキュリティレベルの底上げが行えること。

それとここでは書いていませんが、組織によって定義されたリスクアセスメントを行って、統一的にリスクの評価が出来、組織の弱点を組織自身で洗い出せるようになったり、対策の優先順位を明確な評価軸で洗い出せるようになること、などが挙げられます。経営層のコミットもかなり大きいですね。

換言すると、組織が定義された詳細管理策を実装した上で、情報セキュリティの活動を継続して維持改善し続ける能力を得る、ということなのかなと思います。

ちなみにここに書くISMSの解釈はあくまで僕個人のものです。念のため。