２７００１の具体的な構築は下記のような内容です。

※上記１と２はＩＳＯ１４００１の環境影響評価とマネジメントプログラムに似ています。

もちろん、マネジメントシステムの規格ですから、９００１や１４００１と同様に、文書管理、教育訓練、内部監査、マネジメントレビューなどのしくみも構築しＰＤＣＡを回さなければなりません。ただ、すでに９００１か１４００１を認証取得している企業は別の仕組みを構築する必要は全くなく、従来の仕組みを上手に利用して上記の１，２，３を加えればいいのです。マネジメントシステムですから基本は同じと考えてください。

情報セキュリティーと聞くと、何だかパソコンなどＩＴを思い浮かべてしまいますね。実際、規格の用語もＩＴ関係を対象にした言葉が多いような気がします。しかし、情報とは、決してパソコン内に入っているものやＩＴ関係とは限りません。例えば、試作した製品そのものが大切な情報であったり、工程そのものが大切な情報であったりするのです。ですから、御社にとって大切な「情報資産」とは何かをきっちり押さ得ることが肝心です。そして、リスクの分析・評価をし、そのリスクを低減するための対策を決定して宣言することがＩＳＯ２７００１情報セキュリティーの考え方です。

※規格要求事項の用語を自社の情報資産に置き換えて解釈するとすっきりします。

今後の展望として考えられることは、先の経済産業省の情報セキュリティーガバナンスで「情報セキュリティーに対する努力を企業価値として評価する」と発表し、内閣府は第一次情報セキュリティー基本計画で、「２００９年４月までには全ての企業がＩＳＯ２７００１取得を推薦するセキュリティー対策実施」を明言しています。これを受けて今後、官公庁はもとより一般企業においても、「ＩＳＯ２７００１認証取得」の動きが活発化することでしょう。