ISMS(ISO27001)の取得に必要な4つの条件とは?

ISMS(ISO27001)の取得に必要な条件


ISMS(ISO27001)の取得で必須となる条件は4つです。
ISMS(ISO27001)の取得において、この4つの条件が満たされていないと取得ができません。
また、審査で落とされてしまう可能性のある「重大な不適合」についても紹介します。

1.ISMS(ISO27001)取得での4つの条件とは

ISMS(ISO27001)の取得において、以下の条件が満たされなければ認証はかないません。

①ISMS(ISO27001)の要求事項に沿って情報セキュリティマネジメントシステムを構築していること
②情報セキュリティマネジメントシステムの体制が整備され、運用をしていること
③審査の費用を支払うこと
④審査時に不適合が出た場合は期間内で是正処置を完了させること

各条件の具体的な内容を次項で説明していきます。

2.ISMS(ISO27001)取得のために何をしなければならないのか

ここでは各条件で具体的に何をすべきかについて解説します。
 

①ISMS(ISO27001)の要求事項に沿って情報セキュリティマネジメントシステム(ISMS)を構築していること

ISMS(ISO27001)には次のように10項目の要求事項が定められており、自分たちで手順を定めてマネジメントシステムを構築することが求められています。

  1項 適用範囲
  2項 引用規格
  3項 用語及び定義
  4項 組織の状況
  5項 リーダーシップ(方針の策定、組織体制の整備等)
  6項 計画(リスク・機会、目的目標の管理)
  7項 支援(設備資源、力量、コミュニケーション、文書・記録管理)
  8項 運用(情報セキュリティアセスメントとリスク対応)
  9項 パフォーマンス評価(内部監査、マネジメントレビュー等)
  10項 改善(是正処置対応、継続的改善)
 

②情報セキュリティマネジメントシステムの体制が整備され、運用をしていること

ISMS(ISO27001)を導入する際にまずは管理責任者など役割を任命しておく必要があります。
舵を切る人やそれをフォローする人など体制を整え、構築が完了したらようやく運用へと移ります。

運用については構築したルールに沿って実行していきますが、
運用に漏れはないか、ルールに問題はないかなどを内部監査で再度確認しましょう。
また、審査では運用の記録を確認されるため、実行した運用記録は適切に保管しましょう。

審査を受けるに当たっては2つ決めることがあります。

1つ目は審査機関です。
国内にも ISOの審査機関は50以上あります。最低でも2社以上から見積もりを取ること、窓口に連絡するなどして適切な審査機関を選定していきましょう。

2つ目は認証範囲です。
ISOの場合は1部署あるいは一部の拠点でも認証取得が可能です。
「総務部だけ」、「〇〇支店だけ」、「本社だけ」、など一社全体でなく一部だけで取得しているという企業も多くあります。どの範囲で認証するかを決め、登録する対象の業務内容を文言にして審査を依頼する必要があります。

ちなみに、ISMS(ISO27001)と同時に検討される方も多いプライバシーマーク(Pマーク)は、部署や拠点を絞った認証はできません。
プライバシーマーク(Pマーク)付与は法人単位となっており、全従業者を適用範囲としなければなりません。

プライバシーマーク(Pマーク)とISO27001(ISMS)の違い

③審査の費用を支払うこと

審査をした場合や無事にISOの認証が下りた場合は、審査機関に支払う費用が発生します。
費用を支払わないとISOには登録できないままです。
審査機関から請求がきたら対応するようにしましょう。

④審査時に不適合が出た場合は期間内で是正処置を完了させること

審査では不適合が出ますがこれを放置してしまうと審査完了とはならず、ISO認証は下りません。
また、審査で不適合が発生した際には審査機関の規定に基づいた是正期間や指定フォーマットがあります。
審査員の指示のもと是正処置を行い、期間内に完了させるようにしましょう。
 

3.ISMS(ISO27001)の審査に落ちるケース

「審査で落とされることはあるの?」
という疑問を持つ方も少なくないと思いますが、審査で「重大な不適合」だと判断された場合、実際に審査に“落ちる”ことはあります。

不適合には「重大な不適合」と「軽微な不適合」の2種類あります。
運用の1つが漏れていたりマネジメントシステム上大きな問題がないものは「軽微な不適合」として是正処置を完了させれば良いのですが、「重大な不適合」と言われれば審査が中断されたり継続できなくなります。

「重大な不適合」となるケースは、構築したルールがISMS(ISO27001)の要求事項に沿ってない場合や、構築をしたものの運用ができていない場合(特に内部監査やマネジメントレビュー)など、改善の余地がないと審査員が判断したものです。

条件の①と②を面倒くさがらずに確実に実施して審査に臨みましょう。

4.まとめ

ISMS(ISO27001)を取得するには情報セキュリティマネジメントシステムを構築し、運用すること、審査費用を支払うこと、審査で出た不適合は是正処置を行う、この4つの条件が必要です。

構築や運用など、審査を受ける前にやるべきことがたくさんありますので、一度コンサルティング会社に相談してみるのもいいでしょう。

カテゴリー: