序文　　（重要ポイントのみ）

０１．一般
　ISO27001は、会社の経営者や社員が良い情報セキュリティマネジメントシステム(ISMS)を作り上げて、使っていくための手本にするために作られました。ISMSを取り入れる事を決めるのは、会社の一部の人達の要求によるものとしてではなくて、全社が一致団結して導入するべきです。
　ISO27001は、次のために使う事が出来ます。
　　　（１）情報セキュリティに関する自社の能力を確かめるため。
　　　（２）外部の誰か(例えば認証機関)が、その能力を確かめるため。

　【解説】ISO14001とは異なり”自己宣言”には言及されていませんが、(1)を考えれば自己宣言に
　　ついても用途に含まれていると考えるのが普通でしょう。


０２．プロセスアプローチ
　ISO27001の仕組みの基本は、ISO9001と同様に『プロセスアプローチ』です。

『プロセス』とは、
　「会社で行われているいろいろな活動」のユニット(ひとかたまり)です。
　会社の仕事の行われ具合は管理されなければなりませんが、その管理を行う時に対象になるユニットを『プロセス』と呼びます。会社の仕事は、とてもたくさんの『プロセス』で出来ています。
　管理のやり方次第で、小さな『プロセス』がいくつかで大きなひとかたまりとなって、大きな『プロセス』として取り扱われる（管理される）こともあります。これらのプロセスがいくつも集まって、会社の仕事の全体になります。

それぞれの『プロセス』には、
　　・インプット（原料、部品、必要な情報、エネルギー）
　　・アウトプット（製品、中間製品、仕事の成果）
があって、あるプロセス(工程）のアウトプットが、次のプロセス(工程)のインプットになる、という様に仕事が繋がって行きます。

『プロセスアプローチ』とは、
　　・仕事を区分けして、いくつもの「プロセス」に分ける。
　　・それらの「プロセス」の、お互いのつながり方を整理して、理解する。
　　・それをもとに、それぞれの「プロセス」を管理する。
　　・最終的に、仕事全体がうまく行く様にする。
という考え方です。

　その『プロセスアプローチ』による管理の行い方は、「PDCAサイクル」として知られている行い方で行って下さい。

『PDCAサイクル』とは、
　　・P(Plan：計画)：　　やみくもに管理してもろくな管理にならないので、達成しなければ
　　　　ならない行動や行動結果のレベル。また、その達成の方法や必要なものを決める。
　　・D(Do：実行)：　　　計画した通りに実行する。
　　・C(Check：点検)：　管理の行われ方や、行動、行動結果が計画通りか、元々目指した
　　　　レベル通りか、評価する。
　　・A(Act、Action：見直し、処置)：点検結果を見て、「では、次はどうすれば良いのか」を
　　　　考えて、結論を出す。
　　・次のP：　　　　　　見直し結果を受けて、これからの管理を計画する．．．．．．．
という流れで、管理を行うやりかたです。


０３．他のマネジメントシステムとの両立性
　ISO27001は、品質マネジメントシステムや環境マネジメントシステムと統合したマネジメントシステムを組み立て易い様に、ISO9001/14001と関連づけられています。

　　【解説】確かに矛盾は生まれそうではありませんし、4.3項以降はかなりISO9001の丸写し
　　　ですが、文書体系の構造がかなり違いますし、ISO14001とはかなり遠い構造をしています。
　　　”眉唾”で受け取って下さい。



　　　　　　　　　　　目次へ　　　　　　全体のトップへ　　　　　　表示色の原則