１．適用範囲

１．１　一般
　ISO27001は、あらゆる種類の団体［組織］を対象にします(例：会社、政府系機関、NGO)。ISO27001は、会社の事業上のいろいろなリスクについて、文書にしたISMS(情報セキュリティマネジメントシステム)を作り上げて、次に実際にシステムを使って、更に必要な場合に書き改めたり・より良く直して行ったりするために行わなければならない事が書かれています。
　
　ISO27001を取り入れることで目指すISMSは、会社の情報資産を保護するためにバランスのとれた管理が行われるもの、またお客さんに信用してもらうために充分な手だてを確実に行うものです。

１．２　適用
　ISO27001は、どんな業種、どんな規模の会社にも、また会社以外の組織にも当てはまる様に作ったつもりです。

　ISO27001の４〜８項でない部分（つまり付属書A）は、会社によって当てはまらない項目があったら、そこだけを除いて［除外して］使っても構いません。但し「会社がISO27001に適合している」と言う場合には、
　（１）除外しても、リスクアセスメントの結果「保護しなければならない」と判断されたものは充分
　　　保護される事、
　（２）除外しても、法律に違反するおそれが無い事、
　（３）除外する理由と、除外したために残るリスクが責任者に正式に認められた証拠があること
の３つが全部満たされていなければなりません。

　【解説】たいていの会社では、付属書Aのうち当てはまらない事がいくつか出るものです。
　　逆に、付属書Aに書いてなくてもそれ以上に何かの手だても行う様になります。
　　この項は、4.2.1j)項と関連があります。


２．引用規格
　次の規格は、ISO27001を使う上で必要不可欠です。

　　ISO17799：2005（BS7799-1）　　情報セキュリティマネジメント行動規範
　　JIS版の規格番号はJIS Q 27002です。


３．　用語の定義　（ちなみに項目順は原文のアルファベット順です。番外は登場順です。）

３．１　情報資産（資産）
　別ページに掲載。

３．２　可用性
　許可を受けている人なら、必要な時にその情報が”いつでも利用できる”という性質。

３．３　機密性
　許可されていない人が、その情報を利用できない性質。言い換えれば、”情報が漏れない”性質。

３．４　情報セキュリティ
　情報の機密性、完全性、可用性の３つを保つ事。
　この他に、真正性、責任追跡性、否認防止性、信頼性を含めても良いでしょう。

３．５　情報セキュリティイベント(事象)
　情報セキュリティに関して何か起こった状態。
　例えば、違反の可能性がある事、管理策に何か足りないものがある可能性、その他まだよくわからないけれども情報セキュリティに関係のある何かの出来事。

３．６　情報セキュリティインシデント（事件)
　情報セキュリティに関して、歓迎したくない出来事。
　会社の事業に何か悪い影響を与えそうだったり、情報セキュリティを脅かしそうだと思われる出来事。
　インシデントは、イベントの一種で、そのなかでも重大なもの。

３．７　情報セキュリティマネジメントシステム（ISMS)
　情報セキュリティの保ち方を、会社に関係のあるリスクに合わせて、作り上げ、次に実際にシステムを使って、システムがうまく使われているか確かめ、確かめた結果どうすれば良いか考え、更に必要な場合に書き改めたり・より良く直して行く、その様な事をする仕組みの事。経営の仕組みの一部。

３．８　完全性
　情報が正確であるという性質。また、情報の処理の仕方が正確であるという性質。言い換えれば、”情報に間違いがなく、改竄(書き換え)されていない”性質。

３．９　残留リスク
　一通りリスクへの対応が済んだ後でも残っているリスク。

３．１０　リスクの受容（許容限度）
　「このリスクについては、仕方ないのだ。」と決める事（仕方ないとする限度）。

３．１１　リスク分析（アナライシス）
　どんなリスクがあって、それぞれどのくらい重大なのかを見積もるための情報集め。

３．１２　リスクアセスメント
　リスク分析(3.11)〜リスク評価(3.13)までの作業。

３．１３　リスク評価（エヴァリュエーション）
　それぞれのリスクがどれだけ重大なのか見積もって、基準と比べてどのくらいに位置するのかハッキリさせる作業。

３．１４　リスクマネジメント
　リスクについて、会社全体でスムーズに取り組める様になっている管理。

３．１５　リスク対応（の取扱：トリートメント）
　リスクを変化させるための手だてを選んだり、実施したりする事。

３．１６　適用宣言書
　会社で適用する管理目的や管理策(手だて)を書いた文書。もちろん、リスクアセスメントやリスク対応の結果を受けて書きます。

番外１．情報セキュリティポリシー
　長いので別ページに掲載。

番外２．管理目的
　別ページに掲載。

番外３．経営者(マネジメント)
　別ページに掲載

番外４．監査
　別ページに掲載

番外５．不適合
　 　何かの決まり事に違反しているか、決めた基準に達していないこと。
　”決まり事”には、例えばISO27001、情報関係法規制、会社で決めた手順などがあり
　ます。明文化されていなくても、常識違反は不適合とした方が良いでしょう。



　　　　　　　　　　　目次へ　　　　　　全体のトップへ　　　　　　表示色の原則