あなたはすでにISO 9001を導入済みですね。そしてISO 27001がいいかもしれないという話を聞きましたね。でも、品質に関するISO 9001が情報セキュリティの導入に役立つのはどうしてでしょう。
それはあなたの想像以上に役立ちます。ISO 9001が品質マネジメントシステム(QMS)のあるべき姿を定めるのに対し、ISO/IEC 27001は情報セキュリティマネジメントシステム(ISMS)を定めます。 したがって「マネジメントシステム」の部分は同じです。でも、それは実際には何なのでしょうか。
マネジメントシステムの哲学は、20世紀後半にW・エドワーズ・デミングが考えた理論から発展したもので、計画-実行-点検-処置(PDCA)サイクルに基づいています。このサイクルは、基本的に次の要素から成り立っています。計画(Plan)フェーズでは、マネジメントシステムで実現したいものを計画し、実行(Do)フェーズでは、それを実施し、点検(Check)フェーズでは、計画が実現したかどうかを定期的に監視し、処置(Act)フェーズでは改善、つまり、計画したものと実際に実現したものとの間のギャップを埋めます。
このサイクルは品質管理を念頭に置いて発明されたものですが、情報セキュリティ(ISO/IEC 27001)、環境(ISO 14001)、事業継続(BS 25999-2)などの他のあらゆるマネジメントシステムの基盤として確立されました。 つまり、ISO 9001に準拠する品質マネジメントシステムに導入した要素の一部は、情報セキュリティマネジメントシステムでも利用できるということです。以下はそのような要素の一覧です。
- 文書管理 – QMSで文書管理に使った手順は、わずかな修正だけで、ISMSでも同じ目的に利用できます
- 内部監査 – QMSとISMSで同じ手順を利用できます。ただし、一人の人間が情報セキュリティと品質の両方に深い知識を持っていることは稀なので、通常、内部監査自体は別の人によって行われます。
- 是正処置・予防処置 – QMSで使った手順は、ISMSでも同じ目的に利用できます。ただし、関連する問題を解決するのは、QMSとISMSでは別の人間である場合が多いです。
- 人的資源の管理策 – どちらのマネジメントシステムでも、人的資源計画・訓練・評価には同じサイクルが使われます。相違点は通常、必要な技能や知識のプロファイルです。
- マネジメントレビュー – どちらのマネジメントシステムでも、マネジメントレビューの原則は同じです。両方のレビューを平行して行うことはお勧めできませんが、経営陣はQMSの意思決定を行うことに慣れているはずなので、ISMSの文脈で意思決定を行う方法もよりよく理解できるはずです
- 経営目的を設定して、その実現をチェックする – どちらの規格でも同じメカニズムが規定されているので、経営陣はそのような組織的な計画法に慣れているはずです。
したがって、ISO 9001をすでに導入済みであれば、ISO 27001の導入はより簡単な仕事になります(その逆もまた真なり)。そうすれば最高で3割の時間を節約できます。 また認証機関では、ISO 9001とISO 27001の審査をまとめて行い、別々に行うより少ない料金を請求するような、いわゆる「統合審査」を提供しているので、認証審査も安価になります。
QMSがうまく機能していれば、ISMSプロジェクトも順調に進展するはずです。経営陣は事業に対する潜在的な利益をよりよく理解するでしょうし、あらゆる組織単位は正確な手順・責任・文書を定義する必要性に慣れるでしょう。
QMSの存在は情報セキュリティに極めて優れた基盤を提供します。ISO 9001を導入済みなら、ISO 27001の導入を真剣に検討してみましょう。
—
無料ウェビナー ISO 27001 implementation: How to make it easier using ISO 9001 もご覧ください。