誤解１．物理的管理対策、技術的管理対策だけを考える入退出管理を行う、パスワードの管理を行う、暗号化ソフトを導入する、などといったような、物理的管理対策や技術的管理対策がしっかりやれていること、これが ISO27001 をやることなんだと思っている方がいます。確かに、入退室の管理やパスワードの管理といった、物理的管理対策や技術的管理対策は必要です。しかし、セキュリティ対策はこれだけではありません。社員の啓蒙や教育、整理・整頓などの活動を行うといったような人的・組織的対策も必要です。目に見える対策だけに偏ってしまわずに、それ以外の人的・組織的対策もしっかりと行う必要があります。誤解２．セキュリティ対策はお金をかけなければいけないうちは、お金がないからまだ情報セキュリティ対策ができない、そう考える会社はけっこう多いものです。確かに、お金がかかるものもあります。しかし、どんなに高価な情報セキュリティシステムを導入しても、自社の情報セキュリティリスクをゼロにはできません。また、ISO27001 では、計画に従って情報セキュリティ対策を考えていくことを要求しています。ですので、会社の経営資源の問題で、すぐに実施できない・導入できないことがあれば、計画に基づいて進捗管理していけばよいのです。誤解３．情報がもれないことだけに注力する大事な情報をいかに、漏らさないかという「機密性」ばかり注力するような会社は多いと思います。確かに、情報を漏えいさせてしまったら、社外の目に触れることになり、会社の信用問題に発展します。しかし、情報セキュリティには、「機密性」「完全性」「可用性」という３つの要素があります。「機密性」ばかりでなく、情報が正確で壊れていないかという「完全性」、許可された人が使いたいときに使えるかという「可用性」も考慮すべきなのです。 Copyright© ISO management institute 誤解４．実施すべき対策の○×で判断する ISO27001 が本来意味するところは、仕組みの構築・運用で、それによって情報セキュリティをどう担保するかです。単に、個別の対策の導入やその運用の○×ではないというのが特徴としてあります。また、とるべき対策は、自社の情報資産の状態（どんな情報資産をもっているか、そしてどんなリスクがあるか）で、とるべき対策が変わってくるもので、最初からとるべき対策は決まっているものではありません。誤解５．まずは、情報資産と考えることこれは、誤解というよりも、さらに一歩踏み込んだとらえ方が必要と思い記しました。まずは、会社として守るべき情報資産を特定することは大事です。しかし、この特定した情報資産は、実際に業務から派生してきているので、その業務との関連を忘れないことが必要です。つまり、情報資産単独の特定ではなく、業務フローの中で、これらを見ていく。このことこそが、実際に役立つ情報資産の洗い出しであり、ここから、具体的なセキュリティ対策を考えていくことが必要だと思います。 Copyright© ISO management institute