ISMS(ISO27001)取得企業とは│第三者からの見え方

ISMS(ISO27001)取得企業とは


ISMS(ISO27001)取得企業とは、情報セキュリティについてのマネジメントシステムを確立し、審査機関による審査を受け、認証を認められた会社のことです。
ISMS取得企業は、規格要求事項の各管理策に対して、技術対策を定め、リスクアセスメントを実施して必要なセキュリティレベルを決め、計画、運用、改善をすることでシステム運用を行っている企業と言えます。

1.ISMS(ISO27001)取得企業とは

ISMS取得企業とは、ISMSの規格要求事項(JISQ27001:2014)を基に組織の情報セキュリティマネジメントシステムを確立し、審査機関による審査を受け、認証を認められた会社のことです。

ISMS取得企業は、規格要求事項(JISQ27001:2014)の各管理策に対して、技術対策を定め、
リスクアセスメントを実施して必要なセキュリティレベルを決め、計画、運用、改善をすることでシステム運用を行っている企業であると言えます。

※ISMS(ISO27001)とは
情報セキュリティマネジメントシステムのこと。情報セキュリティに関するISO規格の1つ。

※JISQ27001:2014(ISO/IEC27001)とは
組織がISMS(ISO27001)を確立し、実施し、維持し、継続的に改善するためにどうしたらいいかを提供することを目的としています。
ISMS(ISO27001)の確立及び実施について、組織として何をどう行うべきかを記載しています。

※ISMS(ISO27001)は、3つの要素について定義しています。
「情報の機密性、完全性及び可用性の維持」
各要素を一言でいうと
・機密性(Confidentiality)・・・情報が漏れないようにすること
・完全性(Integrity)・・・情報が改ざんされたりしないようにすること
・可用性(Availability)・・・情報が使いたいときに使える状態にすること

となります。

こちらの記事でも詳しく解説しております。よろしければご覧ください。
ISMS(情報セキュリティマネジメントシステム)とは?

2.ISMS(ISO27001)取得企業の見つけ方

ISMS(ISO27001)取得企業を見つける方法は3つあります。

①ネット検索する

「ISMS認証取得組織」で検索すると、日本の認証機関で取得した企業については調べることができます。

②会社ホームページにて確認する

ISMSは日本の認証機関以外の審査機関で審査を受けても取得ができるため、ISMSを取得していても①のページに掲載されていない場合があります。
その会社のホームページを見て、「ISMS(ISO27001)認証」と掲載されていないか、ISMSのロゴマークがないかを確認してみるのがいいでしょう。
ISMS(ISO27001)取得企業は、ISMS取得後に認証の証である各認証機関、各審査機関のロゴマークの使用が許可されます。
多くのISMS取得企業が社内外へのアピールのため、会社ホームページに認証について掲載しています。

③名刺、会社パンフレットなどで確認する

ISMSを取得していても会社ホームページに記載する義務はありませんので、ホームページにない場合は、名刺や会社パンフレットにも記載がないか確認してみるのがいいでしょう。

ちなみに、各認証機関、各審査機関によって、ロゴマーク使用に関してのルールや手順があるので使用には注意が必要です。
ルールや手順が間違っていると、不適合になる場合があります。

3.取得企業がやっている3つのこと

下記3点は、必ず実施が必要な項目です。

①社内外における情報セキュリティ対策の実施

社内での情報資産(個人情報含む)の取り扱い、社外との情報共有時のセキュリティ対策、各システムにおけるアクセス権の管理、監視などの対策の策定が必要です。
また、マニュアル(手順書)を作成し、従業員がいつでも閲覧できるようにしなければなりません。

②従業員への情報セキュリティ教育の実施

従業員及び派遣、アルバイト、パート、個人事業主への自社情報セキュリティ対策についての教育を年に1回以上実施しなければなりません。
また、情報セキュリティ事故への教育や注意喚起、周知も実施しなければなりません。

③トップマネジメントによるマネジメントシステムの推進

トップマネジメントが情報セキュリティに関しての方針、目標(目的)を策定し、従業員へ周知しなければなりません。

重要なポイントを絞っていますので、これ以外にもやらないといけないことはあります。

4.ISMS(ISO27001)取得企業になるメリット

ISMSを取得することで下記のようなメリットがあります。

①取引先や顧客からの信頼を与えられる(高められる)

社内外に向けて、自社が取り扱う情報に関して、管理ができていてセキュリティ対策を行っているという証明になります。

②売上拡大のチャンスになる

ISMS(ISO27001)を取得することにより、情報セキュリティ対策を行っているとアピールでき、取引先との契約締結がしやすくなります。

③社内の情報セキュリティに対してのコンプライアンス意識が向上する

社内の情報セキュリティに関して、各対策を実施することで、従業員へのコンプライアンス意識の向上が期待できます。

反対に、取得することでのデメリットもあります。
よろしければこちらの記事もご覧ください。
ISMSのメリット・デメリット

まとめ

ISMS(ISO27001)取得企業とは、情報セキュリティについてのマネジメントシステムを確立し、審査機関による審査を受け、認証を認められた会社のことです。
ISMS取得企業はネット検索、ホームページ・名刺・会社パンフレットを確認することで調べることができます。

ISMSを取得している企業は、
①情報セキュリティ対策 
②情報セキュリティ教育 
③トップがマネジメントシステムを推進 
の3点を必ず実施しています。

ISMSを取得することで、
①取引先・顧客から信頼を得られる 
②売上拡大のチャンスになる 
③社内のコンプライアンス意識が向上する 
というメリットが得られます。

ISMS(ISO27001)取得にお困りの方、ISMSのためにお時間を取られ、通常業務にお時間が取れない方、ISMSのための実施事項が増えてしまい業務実態にそぐわないルールになっている方、是非一度ISO総研にご相談ください。

カテゴリー: