普段ISMSについての解説ブログを書いたり、お客様に説明したりしますが、そもそも知らないことを説明されてもイメージが付きづらいなと思いました。

そこで今回はISMSで出てくる言葉や考え方を皆さんに身近な「料理」に例えて説明してみようと思います。

規格(ISO/IEC 27001)

規格は料理でいうなれば「レシピ」です。
皆さん何か料理を作る時には、基本的な作り方に則りますよね。
規格とは、いわばISMSを作っていくときに参考にしていくレシピなのです。

一方で、料理のレシピって参考にしつつも、皆さんの好きな味付けなどに合わせて少しアレンジしたりしますよね。
ISMSの規格も同じように基本は守りつつも、自分たちの組織の状況に合わせて実際作るルールはアレンジします。

PDCAサイクル

ISMSの流れであるPDCAサイクルもそれぞれ料理に置き換えて考えることができます。

【Plan】

料理をする前にはまず、何が食べたいのか考えて、その上で実際にその料理を作ることができるのか考えたり、何が必要なのか決めて、レシピも準備するのではないかと思います。
料理ではこれがPlanに該当するイメージです。

ISMSも同じで、まず自分たちにとってどこにISMSを適用すべきなのか、適用できるのか考えて、運用していくためのルールを作ったり、必要なものを準備したりします。

【Do】

料理におけるDoとはズバリ、料理を作る段階です。

ISMSでも同じようにPlanで決めたこと・準備したことを基に実際に取り組みを行っていきます。

【Check】

料理の中でチェックって思いつきづらいかもしれませんが、該当する取り組みが実は存在しています。
それは、味見や実際の食事です。
味見や食事をすることで、この料理少し味が薄いなとか、手間のわりには微妙だなとか、そもそもレシピ通りうまくできなかったなとか思うことがあるのではないでしょうか。

ISMSも同じで、実際やってみた結果ここもっとこうした方がよかったなということを内部監査や有効性のチェックなどという手段で突き止めます。

【Act】

料理でいうなれば、「今回の経験を次回の料理に活かす」です。
「一回料理をしただけで完璧なものができた！」という人は少なく実際は、「今回は味が薄かったから次はもう少し醤油を入れよう」「この調理器具もあった方がやりやすいかも」など、料理を改善するのではないでしょうか。

ISMSも同じで、今回取り組みを行ってみてチェックもした結果改善できそうなものを改善していきます。

審査

料理自体は誰の認可がなくてもできますし、レシピ通りに作って、「自分の中でいいものができた！」と思うことは可能ですが、第三者からすると本当にちゃんとしたものができたのか判断することはできませんよね。
そこで、信頼できる第三者に「確かにいいものできてますね！」と認められることで、他の人も信頼できるのではないでしょうか。

ISMSも同様に、規格に基づいてISMSを構築・運用した！ということ自体はできますが、そのISMSがちゃんとしたものなのか第三者が判断することはできません。

そこで認証機関という第三者が審査を行って「ちゃんとしたISMSできてますよ！」ということを確認して認証という信頼を付与します。

まとめ

今回はISMSの基礎知識を、より身近な料理と照らし合わせて考えてみました。
もちろん具体的な内容は全然違いますが、レシピに基づいて作るけど、人(会社)によって少しずつアレンジが入るといったようなイメージは持っていただけたのではないでしょうか。

「情報セキュリティの取り組み」という一見遠く感じるものも、ニュアンスや流れは身近なものと大きく変わるわけではありません。そう考えると意外と自分たちでもできるのかなと思っていただけるのではないでしょうか。