1. 基本管理策

既に組織内にある情報セキュリティ管理策（規定化されたもの等）とISMS規格の付属書である133項目の管理策を対比させ、実施の有無および該当の有無のギャップを分析する。その結果、一部実施されている項目および実施されていない項目に関して、どのような対策を講ずるかを検討する（対策を「ギャップ分析対策表」へ記載）。これを基本管理規程とする。

2. 追加管理策

基本管理策とは別に、組織内にある全ての情報資産を洗い出し、各々の情報資産における「C：confidentiality（機密性）」と「I：integrity（完全性）」、「A：availability（可用性）」に関する調査と評価を行い、組織の情報資産を確定する（情報資産管理台帳の作成）。情報資産は、さらに保存形態や保存場所、資産の特徴などによりリスクのグループ化、リスク評価を行う。グループ別のリスク評価後、脆弱性が受容レベル以上の情報資産のみ対策を検討し、更に先の基本管理策で立てた対策で十分かを考慮し、再度対策を講じる。

3. 管理策の決定（適用宣言書）

講じられた対策の中で、最適化するもの、回避するもの、アウトソーシングなど移転するもの、とりあえず保存するものといったリスク対応を明確にする。この結果に対して経営者が承認することにより、組織としての情報資産への管理策が決定される（適用宣言書の作成）。決定された管理策は、ルール化するために各規程として明文化されることになる。

※上図は、リスクアセスメント体系の1つのモデルを示したものであります。

133の管理策を関連性とともに図示した資料です。
A.5　セキュリティ基本方針
経営陣の方向性及び支持を、関連法令及び規則に従って規程する
A.5.1　情報セキュリティ基本方針
A.5.1.1　情報セキュリティ基本方針文書
A.5.1.2　情報セキュリティ基本方針のレビュー

A.6　情報セキュリティのための組織

A.6.1　内部組織
組織内の情報セキュリティを管理する
A.6.1.1　情報セキュリティに対する経営陣の責任　　　　　　
A.6.1.2　情報セキュリティの調整
A.6.1.3　情報セキュリティ責任の割当て
A.6.1.4　情報処理設備の認可プロセス
A.6.1.5　秘密保持契約　　　　　　　
A.6.1.6　関係当局との連携
A.6.1.7　専門組織との連携
A.6.1.8　情報セキュリティの独立したレビュー

A.6.2　外部組織
外部組織に対するセキュリティを維持する
A.6.2.1　外部組織に関係したリスクの識別
A.6.2.2　顧客対応におけるセキュリティ
A.6.2.3　第三者との契約におけるセキュリティ

A.7　資産の管理

A.7.1　資産に対する責任
組織の資産を適切に保護及び維持する
A.7.1.1　資産目録　　　　　　　　　　
A.7.1.2　資産の保有者　　　　　　　
A.7.1.3　資産利用の許容範囲

A.7.2　情報の分類
情報を適切なレベルで保護する
A.7.2.1　分類の指針　　　　　　　　　　
A.7.2.2　情報のラベル付け及び取扱い

A.8　人的資源のセキュリティ

A.8.1　雇用前
リスク低減のため、従業員、契約相手、第三者の利用者に責任と役割を理解させる
A.8.1.1　役割及び責任　　　　　　　　　　
A.8.1.2　選考　　　　　　　　　　　　
A.8.1.3　雇用条件

A.8.2　雇用期間中
従業員、契約相手、第三者の利用者における人による誤りのリスクを低減する
A.8.2.1　経営陣の責任　　　　　　　　　　
A.8.2.2　情報セキュリティの意識向上、教育及び訓練　　　
A.8.2.3　懲戒手続

A.8.3　雇用の終了又は変更
従業員、契約相手、第三者の利用者の組織からの離脱、雇用変更に関し、所定の方法で行う
A.8.3.1　雇用の終了又は変更に関する責任　　　　　　　
A.8.3.2　資産の返却　　　
A.8.3.3　アクセス権の削除

A.9　物理的及び環境的セキュリティ

A.9.1　セキュリティを保つべき領域
施設及び情報への不許可アクセス、損傷、妨害を防止する
A.9.1.1　物理的セキュリティ境界
A.9.1.2　物理的入退管理策
A.9.1.3　オフィス、部屋及び施設のセキュリティ
A.9.1.4　外部及び環境の脅威から

ISMS Ver.2.0が、国際規格のISO27001（情報技術 – セキュリティ技術 – 情報セキュリティマネジメントシステム – 要求事項）となりました。その要求事項に大きな変更は見られないものの、ISO特有のPDCAサイクルを意識した規格の構成となっております。
ISMS Ver.2.0にくらべ、継続的改善を意識させるPDCAサイクルのC（check：チェック）とA（Act：アクション）が明確になり、有効性の評価が要求されるようになりました。
規格要求事項の構成としては、4項において、ISMS（Information Security Management Sysrem）の全体像に関して要求されており、ISMSの確立、導入と運用、監視及び見直し、改善と計画（P：plan）、実施（D：do）、見直し（C：check）、改善（A：act）のPDCAごとに項目わけされている。
それを補う形で、経営者の責任としてやるべきこと（5．経営者の責任）、マネジメントシステムの有効性の確認（6．内部監査）、マネジメントシステムの改善（7．マネジメントレビュー、8．ISMSの改善）、具体的なセキュリティ対策（附属書A – 詳細管理策）があると見れる。

企業においては、実際に行うべきセキュリティ対策の主として考えなければならないのが、「附属書A – 詳細管理策」への対応である。しかし、詳細管理策は、規格の中ではあくまでも附属書という扱いであり、企業は、この詳細管理策をもとに、自社の情報セキュリティマネジメントシステムを、どのように構築していくかを検討することになります。
附属書Aの管理策ばかりに気をとられ、マネジメントシステムの構築をしてしまうと、継続的改善を意図して構成されているISO27001要求事項がないがしろされ、企業として運用し続けることは難しいものになるでしょう。
まず、ISO27001の規格が、どのようなマネジメントシステムを要求しているのかを掴んだ上で、「詳細管理策 – 附属書A」を下敷きに、具体的な対策を検討することが重要です。
今後、ISO27001には、ISO27000（情報セキュリティマネジメントシステム – 基本及び用語 – ）、ISO27003（情報技術 – セキュリティ技術 – 情報セキュリティマネジメントシステムのための実施の手引）、ISO27004（情報技術 – セキュリティ技術 – 情報セキュリティマネジメントの測定）、ISO27005（情報技術 – セキュリティ技術 – 情報セキュリティリスクマネジメント）といったISO27000シリーズというのができる予定です。
ISO9001やISO14001を既に経験されている方にとっては、考え方としては一緒であるため、取組みやすい規格である一方、規格自体の未整備状況により、しっくりこない部分も出てくると思われます。

組織が所有する情報資産をリストアップするにあたり、中小企業規模であれば、全社員を対象に本人が管理する情報資産を列挙してもらうのがベターです。なお、大企業においても、考え方の基本は同じですが、大規模の組織の場合であれば、個人レベルで行う情報資産の洗い出しを、課（係）単位で、代表者の判断のもと課（係）の所有する情報資産を洗い出します。

■ビジネスフローを検討する

列挙の方法としては、ビジネスフローに着目し、個々のプロセスでどういう情報資産が発生するのかを考えます。例えば、インターネット関連のシステム開発を手がける組織の場合、対象とするビジネス機能は、「システム開発」「顧客サポート」「営業」「総務」の4つに分類できます。これらの機能ごとにビジネスフローを検討し、個々のビジネスフロー上で発生する情報資産を列挙します。

■情報資産シートへ列挙する

例えば、「システム開発」の場合、「① 企画、設計」「② 開発」「③ 運用」「④ 管理」「⑤ その他」という流れになるので、システム開発に従事する社員は、個々のビジネスフローの中で発生する情報資産を「情報資産シート」に列挙します。全社が共通して所有する情報資産に関しては、別途セキュリティ委員会で洗出しを行います。

■管理策をチェックする

明らかになった情報資産は、ISO 27001の附属書Aの「管理目的及び管理策」とを関連付けます。一つ一つの管理策をチェックして、関連する情報資産（グループ化されたグループ名）を列挙します。これにより、情報資産にまつわる脅威や脆弱性の分析、最終的なリスク評価を1シートで行えます。

ISO 27001:2005規格に記述されている「用語及び定義」では、その表記順序が、BS 7799-2:2002との整合性に配慮し、英語表記のアルファベット順に記載されているため、一見すると脈略無く用語が並んでいるように見えます。
そこで、以下のように「情報セキュリティ」「リスクマネジメント」「マネジメントシステム」と3つに大別して整理すると理解しやすくなります。

■情報セキュリティに関すること

守るべき「（情報）資産」とは？　「情報セキュリティ」（守る）とはどういうことか？　守れない事象と事業などへの影響状況を用語で定義しています。

■リスクマネジメントに関すること

情報セキュリティ対策を実施する上で、情報資産に潜むリスクに対してどのように対処していくかを定義するための用語が書かれています。

■マネジメントシステムに関すること

情報セキュリティの確立、導入、運用、監視、見直し、維持および改善をマネジメントシステム全体として取り組むことを用語として定義するとともに、ISO27001（ISMS）との対比を明確にする宣言書を用語として定義しています。

■情報セキュリティ

情報の不適切な保護は、漏えいや内容が不正確、必要な時に使えない等の業務に支障をきたすといったリスクがあります。「情報セキュリティ」とは、重要な情報をこうしたリスクから守ることです。

■機密性（confidentiality）

認可された者だけが情報にアクセスできることを確実にすること。情報の機密性は、「情報が漏えいしないようにする」ことにより確保されます。

■完全性（integrity）

完全性には、情報が改ざんされないようにするといった情報そのものの完全性の確保と、情報システムが勝手に変更されないようにするといった、情報処理の方法の完全性の確保の二つの意味があります。

■可用性（availability）

認可された利用者が、必要なときに、情報および関連する資産にアクセスできることを確実にすること。「自然災害やシステムダウンなどにより、情報が使えなくなること」に関連します。

■リスクマネジメント

リスクに関して組織を指揮し、管理する調整された活動。リスクとは、「組織の活動の遂行を阻害する事象の発生の可能性」。

■リスクアセスメント

「リスク分析」から「リスク評価」までのプロセス。

■リスク分析

「リスク因子を特定」するための、及び「リスクを算定」するための情報の系統的使用。

■リスク因子

脅威と脆弱性を組み合わせたもの。「暗号化されていない通信（脆弱性）により、引き起こされる情報漏えい（脅威）」がリスク因子となります。

■リスク算定

特定されたリスク因子の発生可能性と、それにより引き起こされる事象の結果を検討すること。「暗号化されていない通信にて引き起こされる情報漏えいにより被る損害」を計算すること。

■リスク評価

リスクの重大さを決定するため、算定されたリスクを与えられたリスク評価基準と比較するプロセス。

■リスク対応

リスクを変更させるための方策を選択および実施するプロセス。詳細は、「4.2.1 f)」に記述。

■残留リスク

リスク対応後にまだ残っているリスク。

■リスク受容

リスク対応後の残留リスクを受容する意思決定のこと。これはリスク評価基準に依存します。

審査機関への問合せ・見積り

ISMSの審査にどれぐらいの費用がかかるのか、また手続きはどのようにすれば良いのかは、ISMSの構築開始前または同時に調べる必要があります。審査費用や諸手続きは、各審査登録機関により若干異なりますので、各機関に問い合わせ、見積もりをとるなどしましょう。
現在、ISMSの審査を行う機関の一覧を、財団法人日本情報処理開発協会のページよりご覧になれます。

申請手続き

審査を依頼する機関が決定したら、審査依頼の手続きを行います。申請には、申請料金がかかります。申請書には、各機関の指定様式があり、会社概要、組織体制、情報セキュリティに対するレベルなどを記載することになります。
申請料金の目安　110,000円（30名規模、1サイト）

予備審査（オプション）

審査機関により、オプションとして予備審査を実施するところもあります。これは、実際の審査ではありません。審査に耐えうる状態にあるか、審査を受ける準備ができているかを調査するといった目的で通常実施されます。予備審査は、オプションであるため受審するかどうかは、あくまでも組織の判断に任せられています。組織としては、実際の審査がどの様に行われるのかを予め経験しておこうという目的で受審される場合もあります。
予備審査料金の目安　175,000円（30名規模、1サイト）

初回認証審査

初回認証審査は、第2段階に分かれて実施されます。
第1段階では、「事前確認：見積用アンケートの内容等の確認」「ISMSのフレームワーク確認：フレームワーク、範囲、リスクアセスメント、 リスクマネジメント、適用宣言書等の確認」「セキュリティーポリシー及び手順確認：セキュリティポリシーとポリシーを支える主要な手順等の確認 」などが実施されます。
第2段階では、「ISMSの実施状況に関する確認」が実施されます。なお、第1段階審査の結果によっては、第2段階の審査工数変更が提案される場合もあります。
第1段階審査料金の目安　350,000円（30名規模、1サイト）　/　第2段階審査料金の目安　612,500円（30名規模、1サイト）

認証書発行

審査の結果、ISMS認証基準への適合性が認められると審査登録機関より判断されると、認証書が発行されることになります。認証には、手続き費用が発生します。
認証書の発行には、各審査機関が定めた審査議会により判定されるため、ISMSの審査が終わったからといってすぐに発行される訳ではありませんので、ご注意ください。
認証料金の目安　130,000円（30名規模、1サイト）

維持審査

認証書を維持するためには、定期的に継続審査を受けることが必要となります。維持審査は、年1回（更新審査まで2回）または年2回（更新審査まで4回）の継続審査を実施します。なお、維持審査の回数は、審査機関により異なります。
維持審査料金の目安　1年間 480,000円（30名規模、1サイト）

更新審査

認証は、3年（有効期間）にて満了するため、認証を更新する際は、満了前に認証更新の適切性を確認する更新審査を受審する必要があります。更新審査後、3年間の有効期間を得ることになり、「6 維持審査」を受審することになります。ISMSの認証取得を証明し続ける場合は、この「6 維持審査」と「7 更新審査」の手続きを繰り返し行うことになります。
更新審査料金の目安　1年間 655,000円（30名規模、1サイト）

ISMSの確立は、3つのフェーズに分けて考えることができる。

フェーズ1：ISMSの適用範囲及び基本方針を確立する。（STEP1～2）

まず、事業内容および組織の規模、所在地、情報資産などを考慮し、ISMSの適用範囲を決定します。それを受け、組織の事業や法的遵守事項、リスクアセスメントなどから導かれる各事情を考慮し、ISMSを確立、維持していくための環境および体制に関する、全般的な方向性および行動指針を確立します。

フェーズ2：リスクアセスメントに基づいて管理策を選択する。（STEP3～7）

フェーズ1を受け、リスクアセスメントの体系的な取組方法を策定します。まず、リスクの識別では、組織が保護すべき情報資産を洗い出し、それらの機密性、完全性、可用生を喪失させる脅威及び脆弱性を明確にするとともに、事業に及ぼす影響の大きさを識別します。リスクアセスメントでは、リスクの度合いを算定し、そのリスクが受容できるか、対応が必要かを判断します。リスク対応として、管理策を採用するのか、リスクを保有するのか、または回避するのか、移転するのかといった選択を行います。この対応の結果、付属書の「詳細管理策」リストより、適切な管理目的と管理策を選択します。また、必要に応じて追加の管理目的と管理策を採用することになります。

フェーズ3：リスクについて適切に対応する計画を策定する。（STEP8～9）

付属書「詳細管理策」より選択した管理策とその選択理由を適用宣言書として作成します。この際、採用しなかった「詳細管理策」があった場合は、その理由を記載しなければなりません。この適用宣言書と残留リスクを経営陣が承認することにより、ISMSの運用管理することになります。

※JIDEC資料:「ISMS適合性評価制度の概要」より
※リスクアセスメントとは？：組織の情報セキュリティを高めるために、組織に潜む個々の情報資産に対するリスク（脅威が情報資産の脆弱性を突いた場合に起こる可能性）の所在や大きさを明らかにし（リスク分析）、この分析を通して個々の情報資産に関するリスクを測定する一連のプロセスをいう。

1. PDCAサイクルに基づいたプロセスアプローチの採用

「この規格は、“Plan-Do-Check-Act（計画－実行－点検－処置）”（PDCA）モデルを採用し、これをISMSプロセスすべての構築に適用する。ISMSが、利害関係者からの情報セキュリティ要求事項及び期待をインプットとしてどう取り入れ、必要となる活動及びプロセスを経て、その要求事項及び期待を満たした情報セキュリティの成果をどう生み出すかを表している。」（第0　序文より）

2. リスクマンジメントの体系化

PDCAサイクルにリスクの観点を導入している。「4.2 ISMSの確立及び運営管理」の「4.2.1 ISMSの確立」においては、ISMSの確立の流れに沿った要求事項が記されている。それは、リスクアセスメントの取組方法の策定から、リスクの特定、分析、評価、対応といったものであり、最終的な経営者の承認という形での確立が要求されている。

3. ISO9001との親和性

ISMSの要求事項には、「経営陣の責任」や「マネジメントレビュー」「内部、外部監査の実施」「是正、予防処置の実施」「実行結果の協議」「目的が達成できるかの確認」「改善の実施」といったような、ISO9001と共通する要求がなされている。

4. 具体的なリスク対策

ISMSの特徴としては、この「付属書A　詳細管理策」が挙げられます。これは、リスクアセスメントの結果を受けて、組織が打つべき具体的な対策の指針が書かれています。これは選択制になっており、対応しない項目は適用除外が許されています。この「詳細管理策」が、より具体的に書かれたものとして「JIS X 5080（情報技術－情報セキュリティマネジメントの実践のための規範）」があります。

1. リスクの重大な影響

事件・事故が発生すると、多くの顧客に対して迷惑をかけることになります。また、流出した情報の回収も困難になるでしょうし、顧客への被害防止も難しくなります。結果、顧客からの信頼を喪失し、多額の損害賠償費用が発生。社会的な信頼が低下、今後の対策への工数・費用の負担といったものが発生し、企業存続の危機に追い込まれます。

2. 企業存続の最低限確保

事件・事故が発生した場合、まず企業として取り組まなければいけない目標は、企業が存続するための最低限のレベルを確保することです。直ちに、この第一目標までに引き上げるとともに、これ以下に低下しない対策を実施することが重要となります。この時点での対策が遅れるほど、企業存続は難しくなってきます。

3. 通常業務への復帰

事業の継続性を確実にし、事業の損害を最小にするため、種々の制約条件（費用、期間、人)を考慮した対策を実施することになります。有名なアメリカの9.11事件の際、1週間以内に事業を回復できた企業の存続率は90％を超え、1ヶ月以内だと50%というように、どれだけ早く回復できたが事業存続の鍵となっています。

1. 脅威とは

脅威とは、それに悪意が伴うかに関係なく、結果的に組織が保有する情報資産に対して害を及ぼす、または発生する可能性のある事象をいいます。
盗難や不正アクセス、紛失、操作ミス、故障などの他に、地震や火災、洪水といったものも脅威と考えられます。

2. 脆弱性とは

組織の情報資産は、多くの脅威にさらされています。
脆弱性とは、組織の情報セキュリティ体制上、これらの脅威に対する攻撃に弱い状態のことを指します。
第三者が脅威となる行為(システムの乗っ取りや機密情報の漏洩など)やを行うことができる欠陥や仕様上の問題点といったシステム上の問題点や、機密情報の管理体制が整っていないなどといった人間の振る舞いに関する問題点も脆弱性となり得ます。

3. リスクとは

リスクとは、組織の情報セキュリティの脆弱な部分を付いて脅威が侵入し、情報資産の漏えいなどといった被害を及ぼす可能性のことを言います。情報セキュリティが100％完全なものであるならば、リスクは0と言えますが、そのようなことはほとんどなく、組織は常にこのリスクを考慮し、低減するために情報セキュリティを構築することになります。