「ISMS」には「規格書」というものがある。



　
初めてのISMS・国際規格でも述べたとおり、規格は基本、快適な生活を送れるように、何かを統一するものだから、統一する 基準となるものがなくてはならない。
その基準が書かれているのが「規格書」なのだ。
　でも、イギリス生まれのこの規格の原文は英語。
しかも「規格」の文書なので、意訳ができない。 なぜなら、意訳すると意図せずに原文と違う意味になる可能性があり、統一のための基準がぶれるかもしれないからだ。それで、本当にホントの直球直下、自動翻訳もびっくりな直訳しかできないのが実状らしい。
だから、「へ〜、どんなものなんだろう」で中味を見ても、「あ〜、無理」で本を閉じるまで多分30秒。
　　　　　
それでも頑張って読んでみると、おおざっぱに２つの内容に分けることができるようだ。
　
序文から始まって、用語集やISMSそのものについての説明、認証取得までにやるべきことが書かれている前半部分と、
A.5〜A.15.3.2までの管理策が定められている「付属書A　管理目的及び管理策」(付属書はCまであるけど、ほとんど使わなかった。)　の後半部分。
　ISMSで「管理策」というと、この後半部分に掲載されているもののことを指し、「〜しなければならない」という形の文章。
　「管理目的」とは「〜のため。」の形態でかかれている、管理策の各大項目に必ず 一つ記されているもののことを指す。



　前述の通り、ISMSの用語や規格書の中の言葉は、慣れていないと非常に解りにくく、読んだままに理解できないことが多い。
何も知らないで「管理策」なんて聞いても、私はてっきりこれからセンターで定めるもので、 「管理目的」は情報セキュリティを守ることでしょう？　とか思っていた。 でも、それらはこの規格書に記されているものなのだ。「管理策」はISMSを全うするために規格から課せられた「すべき」ことリストで、「管理目的」は、なぜISMSとしてこの項目を掲げるのかの理由の説明になっている気がする。

　言葉がわかりにくいので、つい、真意が知りたい、原文に立ち返って自分で翻訳しよう、なんて誘惑に駆られても、多分普通の辞書じゃ、 結局規格書本文そのまんまの訳文を自分も作る羽目になって困惑するだけだから、やめておいたほうがいいだろう。
最初は読んでも意味不明だったけれど、実際にISMS構築にかかわった後で読んでみると、少しずつ解るようになったから、初心者でも、ずっと「あ〜、無理」なことはない、らしい。

　とにかく、ISMSには規格書がというものが存在して、それをもとに構築していくのだ、ということをまず念頭に置いておいてほしい。