BLOG ISOブログ

ISO27001の要求事項一覧｜構造や各項目を体系的に解説

2025/08/08 ISO27001

羽田　一彰

ISO27001は、組織における情報セキュリティマネジメントシステム（ISMS）に関する国際規格です。本規格に準拠するには、情報セキュリティ上のリスクを適切に把握・管理し、効果的なマネジメント体制を構築・運用したうえで、継続的な改善を実施する必要があります。

ISMSを構築・運用するための基本的な枠組みおよび基準として、示されているのが「要求事項」です。ISO27001認証の取得を目指すには、これらの要求事項を正確に理解し、組織内における適切な体制の構築が求められます。

本記事では、ISO27001における要求事項の構成、各項目の要点について体系的に解説いたします。

ISO27001とは

情報漏洩やサイバー攻撃のリスクが高まる現代において、企業に求められるのは、確かな情報セキュリティ体制の構築です。ISO27001（情報セキュリティマネジメントシステム（ISMS））は、情報資産を適切に管理し、マネジメント体制を継続的に改善するための国際的な認証規格であり、数多くの企業・組織で導入されています。

ISO27001の概要

ISO27001は、情報セキュリティマネジメントシステム（ISMS）の国際規格であり、情報資産を機密性・完全性・可用性の観点から保護・管理するための枠組みです。ISO27001認証の取得は、第三者機関によって情報セキュリティマネジメントの体制が評価されている証であり、取引先・顧客からの信頼獲得に寄与します。

また、ISO27001認証取得・維持には、PDCAサイクルに基づく継続的な改善策の実施が求められるため、技術的・組織的な面から情報保護を実現します。企業規模・業種を問わず、情報をあつかうすべての組織にとって重要な基準です。

ISO27001の目的

ISO27001規格には、企業・組織が保有する情報資産をあらゆる脅威から守り、事業の継続性確保に努める目的があります。情報の「機密性（許可された人だけがアクセスできる）」、「完全性（改ざんされていない）」、「可用性（必要なときに利用できる）」の3つの観点によるマネジメント体制の維持が基本方針です。

ISO27001規格の要求事項に適合したマネジメント体制の構築は、リスクベースの考え方に基づいた管理策を体系的に整備します。また、セキュリティ対策を組織的・継続的に運用する仕組みの構築は、内部不正および外部からの攻撃、災害などによる情報漏洩・業務停止リスクを最小限に抑止するうえでも効果的です。対外的な信頼性向上にも寄与するため、企業価値を高める重要な手段です。

情報セキュリティマネジメントシステム（ISMS）との関係性

ISO27001は、情報セキュリティマネジメントシステム（ISMS）の国際規格であり、ISMSを構築・運用・改善するための具体的な要求事項を定めたものです。ISMSは、企業・組織が情報資産を守るための管理体制全体を指し、ISO27001は管理運用体制を国際的に評価・認証する枠組みとして機能します。つまり、ISO27001はISMSを実現するための「設計図」として機能し、構築したISMSが国際的に適合しているかを評価・認証するための基準でもあります。

関連記事：ISO9001とISO27001の違いを解説｜統合する方法とは？

ISO27001の要求事項一覧

ISO27001の要求事項は、主に「マネジメントシステムの枠組み」として10項目で構成されており、さらに附属書A（Annex A）には情報セキュリティ対策の参考管理策が示されています。以下では、ISO27001の要求事項の全体構造と各項目について解説します。

1.適用範囲～3.用語及び定義

ISO27001の要求事項1～3は、規格全体を正しく理解し、運用につなげるための前提情報と位置づけられます。

ISO27001規格の適用範囲（Scope）は、情報セキュリティマネジメントシステム（ISMS）を適用する範囲を指します。「誰が使うのか、何のためにあるのか」を示す必要があり、保護すべき情報資産および関連する業務プロセス、事業所・システムなど多岐にわたります。

ISO/IEC27001:2022規格4.3項（情報セキュリティマネジメントシステムの適用範囲の決定）では、適用範囲の決定時には以下に対する考慮を求めています。

4.1項（外部及び内部課題）

4.2項（利害関係者のニーズ及び期待）

組織が実施する活動と他の組織が実施する活動とのインターフェース及び依存関係

ISO27001の引用規格（Normative References）は、規格の要求事項の解釈・適用時に参照される他のマネジメント規格を示す項目です。現行のISO27001:2022では、ISO/IEC 27000（情報セキュリティの基本用語や定義を示した規格）が唯一の引用規格として指定されており、定義や用語の統一が図られています。

用語及び定義（Terms and Definitions）は、規格内で使用される専門用語の定義です。詳細な用語解説は、引用規格であるISO/IEC 27000に準拠しており、ISO27001の本文内では詳しく定義されていません。たとえば「情報資産」「リスク」「脅威」「管理策」などの意味は、ISO/IEC 27000に準拠するよう求められます。

4.組織の状況

ISO 27001の「4.組織の状況」では、情報セキュリティマネジメントシステム（ISMS）を構築・運用するにあたり、企業・組織の内外にある課題および利害関係者のニーズ把握が求められます。組織状況の把握により、自社を取り巻くリスク・機会が明確化されるため、ISMSの適用範囲・管理策の現実的かつ効果的な設定が可能です。

たとえば、企業・組織の目的が「顧客の信頼性向上」にある場合、ISMSの運用を通じて顧客情報を含む情報資産の保護を行う必要があります。業界の規制、技術的課題、組織文化など、組織内外の課題も考慮対象であり、これらの把握はISMS的確な運用に直結します。

5.リーダーシップ

ISO27001の「5.リーダーシップ」では、トップマネジメントの積極的な関与と主導的役割が求められます。具体的には、情報セキュリティ方針の策定、ISMSの目的との整合性確保、役割と責任の明確化、資源の確保、関係者への意識付けなどです。トップの関与が不十分な場合、ISMSは形式的になり、マネジメント体制の実効性・効力が損なわれる可能性があります。企業・組織全体でISO27001規格に準拠したセキュリティ意識を浸透させるには、経営層のリーダーシップが不可欠です。

6.計画

ISO27001の「6.計画」では、ISMSを効果的に運用するために、リスクと機会を特定し、必要な対応策の計画立案が求められます。情報セキュリティリスクの評価と対応はこの章の中心であり、リスク基準の設定および評価方法、対応方針の明確化が必要です。情報セキュリティ目標の設定・達成手段の計画も含まれ、これらは企業・組織の経営方針および実務・活動と整合している必要があります。計画はISMSの体制構築における土台であり、継続的改善に向けたマネジメントシステム運用の出発点となります。

7.支援

ISO27001の「7.支援」では、ISMSを効果的に運用・維持するために必要なリソースおよび体制の整備が求められています。具体的には、必要な人材・設備の確保、担当者の教育、内部・外部に対する適切なコミュニケーションの実施、文書化された情報の管理などです。これらのマネジメントシステムの運用に不可欠な支援活動は、ISMSの継続的な改善および目標達成のための支柱となります。企業・組織が一体となって情報セキュリティ対策に取り組むためには、適切な支援体制の構築が不可欠です。

8.運用

ISO 27001の「8.運用」では、計画で定めた内容に基づき、ISMSを実際に実行するよう求められています。おもな活動は、情報セキュリティリスクアセスメントとリスク対応策の実施です。また、外部委託・業務プロセスに関する管理も対象に該当します。運用では、計画通りにマネジメントシステムを運用し、必要に応じて記録・保管するなど、後の評価・改善にも活用できる状態に整備する必要があります。ISMSの実効性を担保するうえで、日々の運用管理は極めて重要な要素です。

9.パフォーマンス評価

ISO 27001の「9.パフォーマンス評価」では、ISMSが効果的に機能しているかを確認するための評価活動の実施が求められます。情報セキュリティのパフォーマンス指標の監視・測定、内部監査の実施、マネジメントレビューによる継続的な見直しなどが、パフォーマンスの具体例です。パフォーマンス評価により、問題点・改善の余地を正確に把握し、ISMSをより効果的に維持・改善させる必要があります。

10.改善

ISO 27001の「10.改善」では、ISMSの継続的な改善を目的とし、不適合の是正処置および予防処置を講じることが求められます。マネジメントシステムの運用・評価を通じて明らかになった問題点に対しては、原因を分析し、再発防止策の実施が必要です。情報セキュリティの変化、新たなリスクの発生にも柔軟に対応し、マネジメントシステムの継続的な改善を実施し続ける必要があります。改善は、ISMSの運用を形式だけで終わらせず、実効性の高い体制構築につなげるための核心です。

ISO27001の附属書Aとは

ISO 27001の附属書A（Annex A）とは、情報セキュリティ対策の参考となる「管理策（コントロール）」の一覧を示したものです。ISMSの構築・運用におけるリスク対応の基準となります。2022年版では、4つのテーマに分類された93の管理策が示されており、技術的・人的・組織的な観点から、多面的に情報資産を守る指針策定の基盤です。

これらはあくまで参考であり、実際の適用はリスク評価に基づいて判断されるため、「適用宣言書（SoA）」により明示されます。以下では、ISO27001の附属書AのISO27001要求事項との関係性や、4つの管理策について解説します。

ISO27001要求事項との関係性

ISO27001の要求事項は、ISMSの構築・運用・改善に必要な管理プロセスを示しており、附属書AはISMSで求められるリスク対応策の指針です。要求事項に準拠してリスクアセスメントを実施した結果に基づき、附属書Aの管理策から必要なものを選定し、「適用宣言書（SoA）」で適否と理由を明示します。つまり、附属書Aは要求事項を実行するための「ツール集」であり、密接に連携しながらISMSの体制構築を支えています。

4つの管理策カテゴリ

附属書Aでは、リスク対応策について以下4つの管理策カテゴリに分類されています。

カテゴリ	リスク対応策例
リスク対応策例	情報セキュリティ方針、役割・責任の割当て、法的要求事項、プロジェクト管理など
A.6 人的管理策	雇用前・中・後のセキュリティ対応、教育訓練、責任意識の醸成など
A.7 物理的管理策	オフィスや設備の入退室管理、機器の安全性確保、盗難・災害対策など
A.8 技術的管理策	アクセス制御、暗号化、マルウェア対策、ログ管理、情報のバックアップ、開発環境と本番環境の分離など

これら4つのカテゴリは、人的・物理的・技術的リスクをバランスよくカバーし、包括的な情報セキュリティ体制の構築を支援するための枠組みです。ISO27001附属書Aは、要求事項の内容を補完する役割を担っています。

ISO27001の要求事項に対応する際の注意点

ISO 27001の要求事項に対応する際は、実際の運用と整合しているかをつねに意識する姿勢が不可欠です。形式的な対応では認証の取得・維持が困難になり、現場の理解・定着にも支障をきたします。以下では、各要求事項を実践的に運用するための注意点ついて解説します。

リスクベースでのアプローチが必須

ISO27001では、すべての要求事項に対してリスクベースでのアプローチが必須となります。企業・組織の情報資産に対してリスクアセスメントを実施し、どの資産がどのような脅威・脆弱性にさらされているかを明確にする思考方法です。リスクアセスメントの結果に基づき、管理策を選定・適用すれば、過不足のないセキュリティ対策・体制の構築が実現します。リスク評価を曖昧にしたまま進めた場合、実態にそぐわない対策・不要な工数が発生する要因となるため注意が必要です。

実務への定着が重要

ISO27001の要求事項に対応する際は、実務への定着が不可欠です。規定・手順を形式的に整えるだけでは、実際の業務で活用されず、ISMSが形骸化する要因となりえます。たとえば、規程が現場の業務フローに合っていない場合、形だけの運用となり、従業員の理解・協力も得られません。情報セキュリティマネジメントは、日々の業務に根付いてこそ効果を発揮するものです。現場との連携を意識し、実態に即した運用ルールを整備し、定期的な見直しを含めた改善策の実施が、マネジメント体制定着への第一歩となります。

PDCAサイクルを継続させる

ISO27001では、ISMSを継続的に改善するためにPDCAサイクル（計画・実行・評価・改善）の維持が求められます。ISO27001の認証取得時に整備された仕組みも、運用が停滞すれば形骸化し、リスクに対する備えが不十分になるためです。たとえば、定期的な内部監査・マネジメントレビューによる施策評価を怠った場合、問題の早期発見・是正に遅れが生じ、重大なセキュリティインシデントにつながる可能性もあります。PDCAサイクルの継続は、環境および企業・組織体制の変化にも柔軟に対応できる強固なISMSの構築に寄与します。

総括

本記事では、ISO27001の要求事項および構造、各項目の要点について解説しました。ISO27001は、企業・組織における情報資産を守るために必要なマネジメント体制の確立と、継続的な運用・改善を求める規格です。リスクに応じた管理策の導入、実務に則した対応策を確立し、企業・組織全体で情報セキュリティリスクに備える意識・体制の定着が必要になります。