情報セキュリティの目的とは
ここではISO27001(ISMS)の取得・更新に向けた重要用語の一つである「情報セキュリティ目的」について解説していきます。
情報セキュリティ目的とは
「情報セキュリティ目的」とは、ISO27001(ISMS)における組織や企業の方針に基づいた、具体的で実現可能な目標のことです。
ポイントは「測定可能であること」と「実行可能であること」。
測定可能にするためには、たんに「従業員の情報セキュリティ意識を向上させる」といったあいまいで抽象的なものではなく、「〇〇名すべての従業員に対して情報セキュリティに関する研修を〇〇回実施する」「〇〇によるトラブルを0件にする」「〇〇までに〇〇を達成する」というように、具体的な数値を伴った行動計画であることが好ましく、実際に情報セキュリティ目的が達成できたかどうかを一定の指標で評価できるようにすることが求められます。
実行可能とするためには、現在の組織体制や設備では実現できないような目標や、高すぎる理想を掲げないこと。高すぎる目標は現実味が感じられず、従業員のモチベーションと結びつきにくくなります。実際に取り組む従業員にとってわかりやすく、納得できる内容であることが大切です。
また、現状を維持することが適切なパフォーマンスであれば、現状維持も情報セキュリティ目的としても問題ありません。あくまで組織の現状に合わせた目標設定をすることが大切です。
現状では実現できない目標をめざすのであれば、追加の人員や資材を確保し、目標設定に向けた準備を整えたうえで、必要に応じて情報セキュリティ目的を更新することも可能です。
ISO27001(ISMS)と情報セキュリティ目的
ISMS(ISO27001)には、規格10項目の要求事項があります。そこでは、情報セキュリティを運営する上で、組織内部の状況を把握することや、責任者であるトップマネジメントが組織の目標や課題・情報セキュリティの方向性を示した上で、責任をもってISMS運用に取り組むことを示さなければなりません。
そして実際の運用では、常に監視・測定・分析・評価を行うパフォーマンス評価を行い継続的改善が求められます。
こうしたISO27001(ISMS)の運用を現実的にどのように行っていけばいいのかを明確にするために、現実的な行動指針として重要な役割を果たすのが「情報セキュリティ目的」なのです。
ISMS認証コンサル
ISMS認証コンサルを選ぶ際、選ぶポイントは大きく「費用」「対応業種」の2つに分かれます。無駄なコストをかけないためにも、自社の目的に応じたISMSを得意とするコンサルティング会社を選ぶようにしましょう。ここでは2024年1月24日に「ISMS認証コンサル」で検索し表示されたコンサルティング会社のうち、ISMS認証取得のコンサルティングを主業務とする企業の中から、ISMS(ISO27001)の審査通過率が100%で、支援実績数が1,000件以上(調査時点)ある2社をご紹介します。
で選ぶなら

- 業界最安値※13.3万円/月
- 実働不要フルアウトソーシング
- 取得後も負担がない運⽤サポート
で選ぶなら

- 幅広い業種への対応実績
- 企業実態に合わせたISO取得
- 顧客の工数を約80%カット
ISOサポート | ISOプロ | |
---|---|---|
費用 | 月額3.3万円 (税込) |
月額4.4万円 (税込) |
期間 | 通常6か月 | 通常6~7か月 |
支援実績 | 1,450社 | 1,500件超 |
継続率 | 97% | 90.8% |
【選定基準】
※2024年1月24時点、Google検索において「ISMS認証コンサル」と検索して検索結果100位までに表示された企業のうち、ISMS(ISO27001)認証取得コンサルティング業務を行っている会社の中から、ISMS(ISO27001)の審査通過率が100%で、今回の調査時点で支援実績数が1,000以上であることが記載されている企業。