「ISMS規格をわかりやすく解読する」シリーズの初回は、「4.組織の状況」の前半部分、4.1及び4.2について見て行きたいと思います。
※今回利用する「ISMS規格」とは、JIS Q 27001:2014を指します。
※用語の定義は、JIS Q 27000:2014によります。
4.1組織及びその状況の理解
複雑な文章ですが、文章の最初と最後だけを読むと「組織は、外部及び内部の課題を決定しなければならない。」となります。
規格にもあるように、「課題の決定」とは、JIS Q 31000:2010にある「組織の外部状況及び内部状況の確定のことをいう」となっています。
JIS Q 31000には「外部状況」の例として、政治や文化、法律、経済や市場の動向、外部の利害関係者などをあげています。一方で「内部状況」の例としては、組織の文化や経営資源、組織の戦略、意思決定プロセスなどが挙げられています。
これらの中から、組織にとって課題となるものを決定しなくてはいけません。
では、なんの課題かというと、それは規格の文章の省略した部分に書いてあります。
つまり「組織の目的に関連し、かつ、ISMSの意図した成果を達成する組織の能力に影響を与える」課題です。ここで、ISMSの意図した成果とは、規格の概要に書いてあるように、「リスクマネジメントプロセスを適用することで、情報の機密性、完全性、可用性を維持し、リスクを適切に管理しているという信頼を利害関係者に与えること」と考えられます。
これをわかりやすくするために「3つの性質の維持」と呼びましょう。
よって、考えるべき課題というのは、「組織の目的や、3つの性質を維持するために必要なこと」というふうに解釈できます。
4.2利害関係者のニーズ及び期待の理解
ここでは、組織が決定しなければいけない2つのことが書かれています。1つは「利害関係者」、もう1つは、「その利害関係者の要求事項」です。
ところで、「利害関係者」は規格において「ある決定事項若しくは活動に影響を与え得るか,その影響を受け得るか,又はその影響を受けると認識している,個人又は組織」と定められています。利害関係「者」となっていますが、組織も含みます。英語では、interested partyと書くみたいです。
この利害関係者の例を挙げるなら、会社の株主や従業員はもちろん、取引先や顧客なども、利害関係者として考えられます。ここでは、これからISMSを構築していく上で、どのような利害関係者を考慮していくべきか、を考える必要があります。
一方、2つ目に考えなければいけないのが、「利害関係者の要求事項」です。規格において「要求事項」は、「明示されている,通常暗黙のうちに了解されている又は義務として要求されている,ニーズ又は期待。」とされています。つまり、先に考えた利害関係者が、今回のISMSの構築に対してどんなことを要求しているのか、何を望んでいるのか、何を期待しているのかを考える必要があるということです。