Contents
ISO27001(ISMS)とは?
「Information Security Management Systems」 の頭文字
ISO27001とは「Information Security Management Systems」といい、情報セキュリティマネジメントシステムについてISOが制定した規格です。
略称として英頭文字を取り、「ISMS」とも呼ばれています。
ちなみにISOに関してはスイスのジュネーブに本部を置く非政府機関 International Organization for Standardization(国際標準化機構)の略称です。 ISOの主な活動は国際的に通用する規格を制定することを目的とした組織です。
情報を管理するマネジメント方法を定めたもの
では、この情報セキュリティマネジメントとはどういったものなのでしょうか。
組織には、営利活動のなかで利用されたり業務の積み重ねで蓄積された情報が数多く存在します。
それらの情報は組織にとって重要な知的財産ですが、それら情報の保全や管理が煩雑となってしまった場合、組織の営利活動が停滞するだけではなく、顧客からの信用が失われたり、情報漏洩して組織活動が出来なくなるほど経済的ダメージを受けてしまう可能性があります。
ISO27001(ISMS)では、このような組織にまつわる情報というもののセキュリティ・管理方法・マネジメント方法について定められています。
また、似た表記に「JIS Q 27001」もありますが、これはISO27001を日本語に訳し、日本産業規格(JIS)として制定したものです。
「機密性」「完全性」「可用性」を維持する仕組みづくり
ISO27001(ISMS)では、重要な3つのキーワードがあります。
①機密性
認可を受けている人だけが情報を確認できる状態。そのための手法として、パスワードの設定やアクセス制限などがあります。
②完全性
情報が正しいまま維持されること、つまり情報の改ざんや不正な削除が行われない状態。そのためには、情報の更新や上書きができる人を制限することと、情報を最新の状態に保つことも重要です。
③可用性
認可されている人がいつでも必要な情報にアクセスできる状態。そのためにはシステム上で対象者のアクセス権限を認めるだけでなく、トラブルの発生に備えてバックアップもとっておく必要があります。
組織が①②③の状態を維持しつつ、リスクを適切に管理しているという信頼を組織外のステークホルダーに与えることが目的の一つとなります。
ISO27001(ISMS)では、この目的の為に、組織の情報セキュリティマネジメントを人的、物理的、資産、技術的、運用等の様々な側面から管理運営することが必要とされております。
ISMSとプライバシーマークとの違い
プライバシーマークは個人情報を保護するための規格
P マーク(プライバシーマーク)とは?
P マークとはプライバシーマークのことであり、日本工業規格に準拠していることを表しているマークです。事業者が個人情報を保護する体制を整備している場合、P マークが付与されます。
ISO27001(ISMS 認証)と比較すると、P マークの対象は限定的で、適用範囲についても違いがあります。
ISMSはあらゆる情報資産を管理するための規格
ISO27001(ISMS 認証)と プライバシーマークの特徴の比較
・対象としている情報
ISO27001(ISMS 認証)は、ありとあらゆる情報資産で組織が保有する個人情報だけでなく、技術情報や機密情報なども対象に含まれています。
それに対して 、プライバシー マークの対象は個人情報のみとなってます。
・適用範囲
ISO27001(ISMS 認証)は企業全体での取得以外にも、事業や部門ごとの取得も可能です。適用範囲は自由に設定できるため、柔軟性があります。
一方、プライバシーマークは、基本的に企業全体で取得する必要があります。
どちらを取得した方が良いのかお悩みであれば、「顧客の個人情報等を自社で直接取得し、管理する必要ある場合はプライバシーマーク」、「情報処理や業務遂行のために外部から個人情報を含む機密情報を預かることが多い場合はISO27001」でご検討いただくのがいいでしょう。
ISO27001(ISMS 認証)のメリット・デメリット
デメリットは費用と時間がかかること
ISO27001(ISMS 認証)の取得にはメリットとデメリット双方あります。
まずデメリットについてですが、 ISO27001(ISMS 認証)を取得するには、社内の体制を改めて整備するなど様々な準備が必要です。そのため大きな人的工数がかかることに加えて認証を取得するためには費用と時間も必要となります。
メリットはセキュリティレベル向上と他社との差別化
メリットについてですが、端的に伝えるとISO27001(ISMS 認証)を取得すれば社内のセキュリティを高められ、情報を安全に管理するための仕組み構築できます。人材が入れ替わる際にも、リスクマネジメントを維持・強化できます。
かつ、競合他社と差別化できるという意味でも取引先拡大の可能性があります。
ISO27001(ISMS)を取得している企業は会社案内や自社サイト・社員の名刺にISO27001(ISMS)認証マークを掲載して対外的にアピールすることができます。
企業としての信頼性が向上することで取引先が拡大
近年では官公庁等の行政機関の入札条件としてISO27001(ISMS)の取得が提示されていることが増加しており、民間の企業にも同様の傾向が見られます。
ISO27001(ISMS)を取得していれば、そのような取引の機会も逃すことが少なくなります。
企業としての信頼性が向上することで、取引先の拡大につながる可能性が高いといえるでしょう。
ISO27001(ISMS 認証)を取得する流れ
ISO27001(ISMS 認証)を取得するには、説明したように様々な準備が必要です。では取得の流れを具体的に解説します。
①適用範囲を検討する
どの組織で認証を取得するかを決定します。
ISO27001(ISMS 認証)は企業全体での取得も可能ですが、事業や部門ごとでも取得できます。状況によっても、認証を取得すべきかどうかは異なるため、扱っている情報資産の内容を確認し、最適な適用範囲を決定しましょう。
②情報セキュリティの方針を決定する
情報セキュリティの方針を決定するためには、要求事項を満たすために現状何が不足しているのか、また何が必要なのかを把握する必要があります。
現状把握をした上で組織が保有する情報資産を保護する仕組みを構築していきましょう。
③認証機関を選択する
ISO27001(ISMS 認証)の認証機関は、30箇所あります(2023年1月1日時点)。費用は、認証機関によってそれぞれ定められており依頼先によって費用は異なるため、事前に見積もりをとって確認しましょう。
④リスクアセスメントを進める
リスクアセスメントとは、どのようなセキュリティリスクがあるか確認することで、具体的なリスクを発見し、認識し、リスクの特質を理解し、リスクレベルを決定するまでのプロセスのことを指します。
具体的には、情報資産管理台帳を作成し、リスクについて分析した上で、そのリスクに対してどのような対応をとるかについて計画を立てていきましょう。
⑤内部監査を実施する
内部監査を実施し、情報セキュリティ強化のために準備した内容を社内の担当者もしくはコンサルタントが改めて確認します。
問題点がないかチェックした後に、課題があれば改善を加える必要があります。
細部までチェックし、確実に認証を受けられるように体制を整えることが大切です。
⑥マネジメントレビューを実施する
運用状況や内部監査の結果をまとめ、経営者へ報告します。
認定審査を受ける前の最終チェックを経営者の視点から現状をさらに見直し、改善できる部分がないか検討します。改善点がみつかった場合は認証前に必ず改善する必要があります。
➆認定審査を受ける
自社が選んだ認定機関に申請を行い、認定審査を受けましょう。審査は2段階で、1回目は文書による審査が行われ、2回目では情報セキュリティの現状についてチェックされます。
問題ない場合は認証登録が行われます。問題がある場合は改善計画書を提出した後に当該項目を改善すれば認証登録を目指すことが出来ます。
⑧審査結果を公開
認証機関による認証が済むと、情報マネジメントシステム認定センター(ISMS-AC)へ報告が行われます。その後、自社がISO27001(ISMS 認証)を取得した旨が公開されます。
※下記ホームページからISMS認証取得組織を確認することが出来ます。
https://isms.jp/lst/ind/
また、認証には有効期限があり取得してから3年間まで有効です。改めて審査を受けることで認証を更新できます。
⑨PDCA サイクルを回す
認証を取得した後も中間審査が実施されます。
この中間審査はサーベイランス審査とよばれており、年に1回以上行われます。
審査で問題点の指摘を受けないようにするには、認証の取得後もセキュリティの強化を意識すべきです。
PDCA サイクルを回し、セキュリティについて適宜改善を加えるようにしていきましょう。
認証取得の有無でセキュリティレベルを比較する
このようにISO27001(ISMS)を取得している企業は、国際基準のセキュリティレベルを達しているということになります。
取引先を選定する際(とくに機密情報の取扱いを委託する際)は、セキュリティレベルを確認するポイントとして取得の有無を比較しましょう。
特集記事
