情報の「機密性」・「完全性」・「可用性」の維持、改善が基本コンセプト
ISO27001の特徴は組織が保護すべき情報資産について、守りだけでなく、その機密性、完全性、可用性をバランスよく維持し改善することを基本コンセプトとしているところです。規格ではこの3つの特性を以下のように定義しています。
機密性
認可されていない個人、団体等又はプロセスに対して情報を使用不可又は非公開にする特性(外部へ情報を漏洩させないこと)
完全性
資産の正確さ及び完全さを保護する特性(情報画質、量ともに活用できる状態に整っていること)
可用性
認可された団体等が要求したとき、アクセス及び使用が可能である特性(情報がアクセス、利用できる状態であること)
ISO27001もまた、組織においてISMSを確立し、計画、運用、監視、見直し、維持し、かつそのISMSの有効性を改善する際に、プロセスアプローチを採用することを推奨しており、ISMS方針を基にPDCAサイクルをまわすことによって継続的改善を図ることがベースとなっています。
あわせて、この規格では情報資産がさらされている脅威を特定し、その脅威から情報思案を守るための管理態勢、仕組みの充足度を脆弱性で評価することを推奨しています。情報資産の価値と、脅威・脆弱性から引き起こされる可能性のあるリスクの大きさの相関関係からとるべき管理策の手法、そしてレベルを決定していくことになります。とられた管理策は適用宣言書に記載されます。