ISMS(情報セキュリティマネジメントシステム)とは?
ISMS(ISO27001)とは、企業・組織の情報を守るための情報セキュリティマネジメントシステムに関する規格のことです。
ISMSとは、『Information Security Management System』の略称です。ISO27001の別称で同義です。

本記事ではこのISMSとはどういったものなのか、詳しく説明していきます。

1.ISMS(ISO27001)とは?

ISMS(ISO27001)とは、『企業にとって大事な情報が外部あるいは内部に流出してしまうリスクや、使いやすい状態で管理されることを、体制を組んで対策していこうとするもの』を指します。

『情報が流出してしまうリスク』は非常に様々です。
例えば、社員が帰宅途中に居酒屋で会社から持ち出したパソコンを盗まれてしまい、情報が流出することもあるでしょうし、会員ページの脆弱性を突いた攻撃をされてWEBページを通じて情報が流出することもあるでしょう。
こういった問題を、高度なセキュリティ技術や高度なスキルを持った人材に頼らず、会社の仕組みや体制を『ちゃんとした状態』にすることで対策していこうというものが、ISMS(ISO27001)です。

また、また、ISMS(ISO27001)の目的は、組織内における情報の機密性・完全性・可用性、いわゆる情報セキュリティの3要素を確保することとされています。
3要素の機密性・完全性・可用性とは何でしょうか?

機密性(Confidentiality) 情報が漏れないようにすること
完全性(Integrity)    情報が改ざんされたりしないようにすること
可用性(Availability)   情報が使いたいときに使える状態にすること

以上のようになります。ちょっと具体的ではないですね。

簡単に解説していきます。

■機密性
企業の中で特定の人だけが閲覧、アクセスできるように保護をしている状態のことです。言い換えれば、権限のない人が情報にアクセスすることを防ぐことを指します。

IDとパスワードを設定して、権限のあるユーザーにのみ情報へのアクセスを許可することや、ファイアウォールを設置し、企業内への不正アクセスを防止する仕組みは機密性を確保するために重要となります。

■完全性
情報が破壊、改ざんされていないことを保証することを指します。

Webサイトにおけるデータベースの改ざんを防止する仕組みや、ドキュメントへの電子署名の仕組みなどは、完全性の確保につながります。

■可用性
可用性とは、システムや情報をいつでも利用できる状態にすることを指します。

インシデント発生の際、迅速な復旧を可能にするデータのバックアップはその第一歩となります。
また、データバックアップの取得や、BCPを策定し、地震などの災害時においても情報システムを継続利用可能な対策をすることも、可用性確保のための対策となります。

ISMS(ISO27001)では、この情報の3要素を確保することが求められているのです。

2.ISMS(ISO27001)を取得するメリット・デメリット

ISMS(ISO27001)を取得するために、社内でセキュリティ手順を明確にすることで、事故の発生を抑えられ、顧客からの信頼に繋がります。
その代わりに、手間・手順が増えたり審査を受けるための費用が発生するというデメリットがあります。

■メリット
①組織のシステムが確立しやすくなる
②責任と権限が明確になる
③他社から信頼を得やすくなる

■デメリット
①手間が増える
②手順が増える
③審査費用が発生する

⇒メリット・デメリットについて、もっと詳しく知りたい方はこちら

3.ISMS(ISO27001)取得までの取り組み・流れ

ISMS(ISO27001)取得の流れは、下記の通りです。キックオフから取得完了まで早くて6か月、長くて1年程度かかります。

①取得までの計画を立てる

②情報セキュリティマネジメントシステムを構築する

③ISO27001を運用する

④審査を受ける(一次審査⇒二次審査⇒審査会)

⑤認証取得完了

⇒取得までの取り組み・流れについて、もっと詳しく知りたい方はこちら

4.ISMS(ISO27001)とPマークの違い

ISMS(ISO27001)(ISO27001)もプライバシーマーク(Pマーク)も同じ情報セキュリティの認証に思えますが、比較すると、保護する対象や規格のグローバルさ、よく使われる業界・市場などかなり違いがあります。
一覧で比較してみましょう。

ISMS(ISO27001)とプライバシーマーク(Pマーク)の比較表

ISMS(ISO27001)(ISO27001)もプライバシーマーク(Pマーク)の違いについてもっと詳しく知りたい方は、こちらの記事をご覧ください。

5.ISMS(ISO27001)にかかる費用

ISMS(ISO27001)を取得・更新するには費用が発生します。
それは、審査機関に支払う審査費用です。
審査費用は一律でなく、従業員数などによって異なりますし、審査機関によっても変わります。
複数の審査機関から見積りをとって比較するのがいいでしょう。

⇒具体的な費用についての詳細はこちら

6.ISMS(ISO27001)の審査

ISMS(ISO27001)を認証取得するためには、2回に渡る審査を受け、合格しなければなりません。
一段階審査では、文書や記録を中心に、二段階審査では、文書だけでなく実際の業務を見ながらPDCAサイクルの計画から改善まで全てが審査されます。

⇒審査を突破するための詳細はこちら

7.ISMS(ISO27001)取得の条件

ISMS(ISO27001)を認証取得するには、以下の条件が満たされていなければなりません。

①ISO27001の要求事項に沿って情報セキュリティマネジメントシステムを構築していること
②情報セキュリティマネジメントシステムの体制が整備され、運用をしていること
③審査の費用を支払うこと
④審査時に不適合が出た場合は期間内で是正処置を完了させること

⇒認証取得までの詳しい条件はこちら

8.ISMS(ISO27001)取得企業の調べ方

ISMS(ISO27001)取得企業の調べ方をご紹介します。
一般的には名刺等にロゴマークを利用するケースが多くありますが、コロナ禍になりオンラインでの打合せも増え、見る機会が減っている企業もあるかと思います。

次にチェックするべきは、企業のwebサイトです。
主に掲載されることの多いページは以下3つになります。

(1)トップページ
 企業の顔であるトップページに、審査機関のロゴマークが掲載されることが多くあります。

(2)会社概要
 会社概要に認証資格等が掲載されることがあります。ロゴマークではなく、文字として記載されることもありますので、確認時はご注意ください。

(3)セキュリティ方針、セキュリティポリシー等
 企業としてのセキュリティの方向性を示す場です。そのため、方針と共にISMS(ISO27001)を取得していること、またルールにのっとった対応をアピールすることがあります。

9.ISMS(ISO27001)取得企業:審査機関別早見表

情報マネジメントシステム認定センター(ISMS-AC)のwebサイトで
ISMS(ISO27001)取得企業の検索ができます。

https://isms.jp/lst/ind/index.html

見てもらうとわかる通り、登録している企業数と情報公開している企業数に差異があります。つまり、ここに掲載されていないからと言って必ずISMS(ISO27001)を取得していない、というわけではありません。

また、情報マネジメントシステム認定センター(ISMS-AC)以外から認可された審査機関でISMS(ISO27001)を取得している場合は、上記webサイトでは調べることが出来ません。

その場合は、審査機関のwebサイトによって取得企業を紹介していることがありますので、調べてみてください。

10.ISMS(ISO27001)の有効期限

ISMS(ISO27001)の有効期限は3年です。
ですが、ISMS(ISO27001)を失効せず維持するためには毎年審査を受ける必要が出てきます。
そのための審査を維持審査と更新審査と言います。

⇒次回更新までの3年間の詳しい流れはこちら

まとめ

今回はISMS(ISO27001)とは何かを簡単にご紹介してまいりました。
ISMS(ISO27001)の認証に向けやるべきことを明確にしていくことが重要になります。
まずは社内の情報の3要素を洗い出してみてもよいかもしれません。

ISMS基礎知識一覧