ISMS(ISO27001)認証について徹底解説

ISMS(ISO27001)認証について徹底解説

ISO27001(ISMS)の認証とは、第三者である審査機関の審査を受け、「情報セキュリティマネジメントシステムを構築し運用できていることが認められること」をいいます。ISMS(ISO27001)の認証について、そのメリットや取得スケジュール、情報セキュリティのポイントをご紹介していきます。

1.ISMS(情報セキュリティマネジメントシステム)とは?

そもそも、情報セキュリティとは、
インターネットにつないだパソコンや取り扱う情報を安全に扱えるよう、必要な対策を施すこと
を言います。

そして、ISMSとは、情報セキュリティマネジメントシステム(Information Security Management System)を略して呼びやすくしたもので、企業・組織の情報を守るためのシステム・仕組みのことです。
「アイエスエムエス」と読みます。

2.ISMSとISO27001の違い

ISMSが企業・組織の情報を守るためのシステム・仕組みであるのに対し、
ISO27001とは、ISO規格のひとつで、どのようにISMSを構築し運用するかを定めた国際規格のことです。
組織がISMS(=情報セキュリティマネジメントシステム)を確立し、実施し、維持し、継続的に改善していくための要求事項を提供するために作成されています。

3.ISMS適合性評価制度とは

ISMS適合性評価制度とは、
「組織の情報を守るための仕組みを持っている組織であること」を第三者(=審査機関)に認めてもらう制度です。

この第三者とは、決められたルールに基づいて審査を実施している審査機関のことです。

つまり、審査機関による審査を受け、情報セキュリティに関するマネジメントシステムを構築、運用できていることを認められることで、ISMS(ISO27001)認証を取得できるのです。
こちらの記事でも詳しく説明しております。
ISMSとは?

4.ISMS(ISO27001)とプライバシーマーク(Pマーク)の違いとは?

ISMS(ISO27001)と同じように、情報を保護する認証として、プライバシーマーク(Pマーク)があります。

「ISMSとプライバシーマーク、取得するにはどちらがいいか?」というご相談をよく受けます。
ISMSとプライバシーマークに優劣はありませんが、さまざまなポイントで違いがあります。

その違いを表にまとめました。

ISMS(ISO27001)とプライバシーマーク(Pマーク)の比較表

対象が個人情報のみのプライバシーマーク、規格として認められているグレードが国際単位のISMSなど随所に違いは見受けられます。

どちらが自社に合っているかよく検討しなければなりません。他社の事例を多く知っている専門コンサルに相談するのもいいでしょう。

ISMSとプライバシーマークの違いについて、もっと詳しく知りたい方はこちらの記事で詳しく説明しております。

5.なぜISMS(ISO27001)認証を取得するべきなのか?取得のメリット・デメリット

ISMS(ISO27001)認証を取得するメリット・デメリットを下記に3つずつまとめてみました。

■メリット
① 組織のシステムが確立しやすくなる
② 責任と権限が明確になる
③ 他社から信頼を得やすくなる

■デメリット
① 手間が増える
② 手順が増える
③ 審査費用が発生する

代表的なものをまとめて紹介させていただきましたが、組織によって課題となるものは変わってくるかと思います。
手間を減らす方法、審査費用を減らす方法様々解決する手段はございます。

ISMS(ISO27001)認証を取得するメリット・デメリットについてもっと詳しく知りたい方はこちらの記事で詳しく説明しております。

6.ISMS取得にかかる期間

ISMSの認証を取得するにどのくらいの期間がかかるのでしょうか?

キックオフ~取得完了まで、6か月~1年程度と言われています。
ISO総研のISMS新規認証サポートを利用いただいたお客様では、6か月程度で取得まで至るケースが多いです。

「ISMSをできるだけ早く取得したい!」という方はこちらの記事もご覧ください。
ISMS(ISO27001)を最短、短期で取得するために必要なこと!事例つきで紹介

7.ISMS(ISO27001)の取得方法と取得の流れ

ISMS取得の流れは、下記7ステップで考えるとよいでしょう。

①取得までの計画を立てる
   ↓
②情報セキュリティマネジメントシステムを構築する
   ↓
③ISO27001を運用する
   ↓
④社内チェック(内部監査)とトップへの報告(マネジメントレビュー)
   ↓
⑤審査を受ける(一次審査)
   ↓
⑥審査を受ける(二次審査)
  ↓
⑦認証取得完了

取得の流れ、スケジュールについての詳細はこちらの記事もご覧ください。
ISMS取得のステップ

認証範囲やそこにかけられる人員、コストにもよりますが、まずはスケジュールを具体的にして計画を立ててみましょう。

8.ISMS認証取得にかかる費用

①審査を受けるためにかかる費用
審査機関による審査を受けるのに必要な費用は、文書審査料、実地審査料、ISO登録料があります。
また、審査員の交通費や宿泊費なども請求されます。

これら全てが支払われて登録となるため、忘れずに支払わなければなりません。

会社の規模(従業員数)、業種、適用範囲、申請する審査機関などによって金額が変動します。

②それ以外の費用
「早く取得したい」「ISMSについての知識がない」「忙しいのでISMSのために人員を割けない」などの理由で外部のサポートを利用する場合、追加のコンサルティング費用がかかってきます。
ISO総研の場合、月々4万円でISMS新規認証をお手伝いします。
お見積りご希望の方はこちら

費用についてさらに知りたい方はこちらの記事もご覧ください。
ISMS(ISO27001)新規取得費用いくら見ればいいの?

9.ISMS(ISO27001)でおさえておきたい5つのこと

ここでは全ての規格要求を解説することは割愛しますが、ISMS(ISO27001)認証に必要なポイントを5つ下記にまとめてみました。

(1)情報セキュリティ基本方針

情報セキュリティ基本方針とは、情報セキュリティマネジメントシステムの構築において、最初に定めないといけないものです。

規格要求としては下記の7項目を含んだ内容にする必要があります。

    a: 組織の目的に対して適切である。
    b:情報セキュリティ目的(6.2 参照)を含むか,又は情報セキュリティ目的の設定のための枠組みを示す。
    c:情報セキュリティに関連する適用される要求事項を満たすことへのコミットメントを含む。
    d:ISMS(ISO27001)の継続的改善へのコミットメントを含む。
      情報セキュリティ方針は,次に示す事項を満たさなければならない。
    e:文書化した情報として利用可能である。
    f:組織内に伝達する。
    g: 必要に応じて,利害関係者が入手可能である。

また、文書化されたものは組織内外に伝達するため、HPへの掲載や社内掲示をする必要があります。
情報セキュリティ目的について、もっと詳しく知りたい方はこちらで詳しく説明しております。

(2)適用範囲の決定

プライバシーマーク(Pマーク)との違いでも触れましたが、ISMSでは認証を受ける範囲を設定することができます。
どの組織、どの拠点、どの事業と細かく設定することが可能です。
もちろん全社で取得することも可能です。

適用範囲について、もっと詳しく知りたい方はこちらで詳しく説明しております。

(3)リスクアセスメント、リスクマネジメント

情報セキュリティにおけるリスクアセスメントとは、組織のリスクを洗い出し、評価することをいいます。
リスクアセスメントを実施するための基準を作ること、リスクを受容する基準を作ることなどが求められています。つまり、リスクアセスメントとは評価です。

リスクマネジメントとは発生しうるリスクに対して、リスクを想定し、対策を講じることをいいます。

リスクアセスメントを実施してリスクを洗い出し、リスクマネジメントとしてそのリスクへの対策を検討するという仕組みです。

リスクアセスメントについて、もっと詳しく知りたい方はこちらで詳しく説明しております。

(4)適用宣言

ISMS(ISO27001)の適用宣言というものがあります。
規格の中に付属書Aというものがあり、こういった規定を作成する必要があるという要求事項のリストです。

例えば、テレワークについてルールを定めることやアクセス制限についてルールを定めることが要求されています。
管理策と呼ばれるこの要求は114項目あり、それらを自社に適用するかどうかを宣言することを適用宣言といいます。
記録として文書を作成する必要があります。

適用宣言について、もっと詳しく知りたい方はこちらで詳しく説明しております。

(5)BCMS(事業継続マネジメントシステム)

災害などの自然災害や、システム障害等の脅威が発生した場合に、事業を継続する上で影響を及ぼす様々なリスクに対して、事業が中断されることがないよう対応策を検討しておくことが必要となります。

ISMS(ISO27001)では、通信障害によるサービス停止への対応や、サービス提供のための人員の安全確保などが考えられます。

事業継続について、もっと詳しく知りたい方はこちらで詳しく説明しております。

まとめ

ISMSとは企業・組織の情報を守るためのマネジメントシステムのことで、
国際的に他者を評価する資格をもつ審査機関に情報セキュリティに関するマネジメントシステムを構築、運用できていることを認められることを、ISMS(ISO27001)の認証といいます。

ISMS(ISO27001)とプライバシーマーク(Pマーク)の違いは、規格として認められているグレードがISMSは国際単位で、プライバシーマークは個人情報のみとなります。
優劣はありません。

ISMS(ISO27001)認証を取得するメリットは、
①組織のシステムが確立しやすくなる、
②責任と権限が明確になる、
③他社から信頼を得やすくなるなどがあります。

それに対しデメリットは、
①手間が増える、
②手順が増える、
③審査費用が発生するなどがあります。

ISMS(ISO27001)の認証スケジュールは一般的には6か月~1年かかると言われており、
認証範囲やそこにかけられる人員、コストにもよりますが、まずはスケジュールなどを具体的にしていくことが大事です。

ISMS(ISO27001)認証に必要なポイントは、
(1)情報セキュリティ基本方針、
(2)適用範囲の決定、
(3)リスクアセスメント、リスクマネジメント、
(4)適用宣言、
(5)BCMS(事業継続マネジメントシステム)となります。

お悩みがあれば、まずは無料でご相談も可能ですので、お気軽にお問い合わせください!

カテゴリー: