1.概念となる基準
概念的な基準として、COBIT(Control Objectives for Information and related Technology)の成熟度モデル[6]を利用する。COBITでは、組織として人や対策が管理された状態であるか、さらに最適化した状態にあるかを0-5の6段階で示している。ここで、ISMS認証基準が満たされている状態がレベル3であるといえるので、レベル3が最終目標となる。
したがって、ステップ0~3を成熟度レベル0~3に当てはめると、下のようになる。
| ステップ | ステップ0 | ステップ1 | ステップ2 | ステップ3 |
| COBITのレベル数値 | レベル0 | レベル1 | レベル2 | レベル3 |
| COBITのレベル | 存在しない(Non-Existent) | 初歩的(Initial) | 反復可能(Repeatable) | 定義されている(Defined) |
| COBITの状態の定義 | 実施すべき手続きが完全に欠落している。組織は対応すべき問題が存在しているにも関わらず、そのための手続きを導入していない。 | 問題が存在し、対応する必要があると組織が認識していることを裏付ける証拠は存在する。しかし、標準化された手続きは存在せず、個人ごとに、あるいはケースバイケースによる思いつきによる手続きが実施されている。 | この段階では、手続きが確立され、同じ業務を持つ異なる担当者が良く似た手続きを実施している。しかし標準的な手続きについての訓練や伝達は存在せず、個人が責任を負うという状況である。個人の意識に依存している程度が高く、過ちが発生しがちである。 | プロセスは標準化され、文書化され、訓練により伝達されている。しかし、このようなプロセスは個人に依存しており、逸脱が存在する可能性がある。プロセスは洗練されていないが、実際に行なわれている規範として公式化されている。 |
| ステップ | ステップ0 | ステップ1 | ステップ2 | ステップ3 |
| 中小企業としてのレベル | 最低限 | レベル低 | レベル中 | レベル高 |
| 対策の重要度 | 最重要項目 | 重要項目 | なるべく実施したい項目 | 実施するのが望ましい項目 |
| 対策の運営 | セキュリティ管理者 | セキュリティ運営チーム | ← | セキュリティ運営委員会 |
| 文書化(規定化) | セキュリティ基本方針 ステップ0の規定 | ステップ1の規定 | ステップ2の規定 | ISMS認証基準に則した文書化 |
| 教育 | セキュリティ対策の重要性(必要性) ステップ0の教育 | ステップ1の教育 | ステップ2の教育 | ステップ3の教育 |
| ステップ | ステップ0 | ステップ1 | ステップ2 | ステップ3 |
| 守るべき重要資産の選定方法 | 管理者が特に大事と思われる情報資産の抽出 | 運営チームで特に大事と思われる情報資産の検討 | 運営チームでセキュリティ対策が必要と思われる情報資産の検討 | 運営委員会で、情報資産の重要度、脅威・脆弱性の数値化により、情報資産を評価 |