名称
ISO/IEC 27001:2022 情報セキュリティマネジメントシステム
リンク先
https://www.iso.org/standard/27001
内容
ISO/IEC 27001は、組織における情報セキュリティを体系的に管理するための情報セキュリティマネジメントシステムISMS:Information Security Management System)を規定した国際規格です。この規格は、組織が保有する情報資産を保護するために、リスクに基づいた管理の仕組みを構築し、継続的に改善していくことを目的としています。
ISO/IEC 27001では、情報セキュリティを次の三つの観点から保護することを基本としています。
- 機密性(Confidentiality):情報が許可された者のみアクセスできる状態を確保すること
- 完全性(Integrity):情報が改ざんされず正確である状態を維持すること
- 可用性(Availability):必要なときに情報を利用できる状態を維持すること
本規格では、情報セキュリティの管理を単なる技術的対策としてではなく、組織のマネジメントシステムとして位置付けています。具体的には、情報資産の特定、リスク評価、リスク対応、運用管理、監査、継続的改善などの仕組みを定め、情報セキュリティを組織全体で管理することを求めています。そのためISO/IEC 27001は、IT部門だけでなく、組織全体の情報管理の枠組みとして利用されており、金融、製造業、公共機関、建設業など多くの分野で採用されています。
解説
ISO 19650シリーズは、建設プロジェクトおよび資産運用における情報マネジメントの仕組みを定めた国際規格ですが、その中でもISO 19650-5は、情報セキュリティの観点から機密性の高い情報の取り扱い方法を示した規格です。建設プロジェクトでは、設計情報、設備情報、セキュリティシステム、インフラ構造など、社会的に重要な情報がデジタルデータとして管理されるため、不適切な情報公開やサイバー攻撃などによるリスクが存在します。このようなリスクに対応するために、ISO 19650-5では「セキュリティ志向の情報マネジメント(Security-minded approach)」を採用することを求めています。このセキュリティ志向の情報マネジメントの考え方は、ISO/IEC 27001に代表される情報セキュリティマネジメントの枠組みと整合する形で構成されています。
具体的には、次のような関係で整理することができます。
- ISO/IEC 27001
→ 組織全体における情報セキュリティマネジメントの枠組みを定める - ISO 19650-5
→ 建設プロジェクトおよび資産情報における情報セキュリティ管理の考え方を示す
つまり、ISO/IEC 27001が組織レベルの情報セキュリティマネジメントを定める規格であるのに対し、ISO 19650-5は、そのような情報セキュリティマネジメントの考え方を参照しつつ、建設分野の情報マネジメントにおけるセキュリティの取り扱いを示した規格と捉えることができます。そのため、ISO 19650を実践する組織においては、ISO/IEC 27001に基づく情報セキュリティマネジメントの仕組みを整備することで、ISO 19650-5におけるセキュリティ志向の情報マネジメントをより効果的に実践することが可能になります。
特に、CDE(共通データ環境)で共有される設計モデルや文書情報には、施設の構造やセキュリティ設備などの重要情報が含まれる場合があるため、アクセス権限管理、情報分類、リスク評価などの管理方法を明確にすることが重要です。
このように、ISO/IEC 27001は、ISO 19650-5における情報セキュリティの基盤となる規格として参照されることが多く、建設分野における安全な情報マネジメントを実現するための重要な参考規格となっています。
掲載日
2026年4月1日
担当者
伊藤久晴