ISO 27001は情報セキュリティ管理の実装を中心に構築されていますが、コンプライアンスのために普遍的に義務付けられているものはありません。

これは、ISMSを開発する際にすべての組織に独自の要件があり、すべてのコントロールがそうであるとは限らないことを標準が認識しているためです。

代わりに、組織は、実装するコントロールに関する決定を通知するアクティビティを実行する必要があります。このブログでは、これらのプロセスに伴うものと、それらを完了する方法について説明します。

必須の認証要件

ISO27001を実装する際の2つの最も重要なアクティビティは次のとおりです。

• ISMSのスコープ（4.3節）。保護する必要のある情報を定義します。および
• リスク評価を実施し、リスク処理方法を定義します（6.12節）。この方法では、情報に対する脅威を特定します。

組織も完了する必要があります。次の必須条項：

• 情報セキュリティのポリシーと目的（5.2および6.2節）
• 情報リスク処理プロセス（6.1.3節）
• リスク治療計画（6.1.3 eおよび6.2節）
• リスク評価レポート（8.2節）
• トレーニング、スキル、経験、資格の記録（7.2節）
• モニタリングと測定の結果（9.1節）
• 内部監査プログラム（9.2節）
• 内部監査の結果（9.2節）
• の結果管理レビュー（9.3節）
• 是正措置の結果（10.1節）

および付属書Aの統制？

附属書Aは統制の概要を示していますさまざまなリスクに関連しています。組織が選択するコントロールによっては、以下も文書化する必要があります。

適用性に関する声明

ここでは、これらすべてのプロセスの詳細を詳しく説明することはできません（詳細については、当社のWebサイトを参照してください）が、情報リスク処理プロセス内の重要なドキュメントであるSoA（Statement of Applicability）を強調する価値があります。

SoAは、どのAnnexAの概要を示しています。選択または省略したコントロールと、それらを選択した理由を説明します。また、各コントロールに関する追加情報と、その実装に関する関連ドキュメントへのリンクも含める必要があります。

ドキュメント化プロセスへの取り組み

コンプライアンスプロジェクトを開始すると、ドキュメントに気付くでしょう。プロセスは、要件自体の実装よりもはるかに時間がかかります。

各条項には独自のドキュメント要件が付属しているため、ITマネージャーと実装者は数百のドキュメントを処理する必要があります。各ポリシーと手順は、調査、開発、承認、および実装する必要があり、これには数か月かかる場合があります。

文書化プロセスを容易にする

組織は、ISO 27001ISMS文書化への準拠プロセスを簡素化できます。ツールキット。

ISO 27001の専門家によって開発されたこのカスタマイズ可能なテンプレートのセットは、できるだけ手間をかけずに標準のドキュメント要件を満たすのに役立ちます。

ドキュメントを直接に埋め込むことができます。組織化、時間とお金の節約、12か月以上のサポートへのアクセスにより、ISO 27001の文書化プロセスに関連することについて不明な点がある場合は、専門家の支援を得ることができます。

ISO 27001ISMSドキュメントツールキットの詳細> >

このブログのバージョンは2016年3月24日に最初に公開されました。

推奨資料：

• ISO 27001規格にはいくつのコントロールがありますか？