ISMS(ISO/IEC27001)とは?認証取得のメリットや取得・運用の流れを解説
ISMS(ISO/IEC27001)とは?認証取得のメリットや取得・運用の流れを解説
ISMS(ISO/IEC27001)とは、事業目的を達成するために、組織の情報セキュリティリスクを管理する体系的な仕組みです。ISMSには認証制度があり、企業が情報セキュリティリスクを適切に管理している証明が可能です。 ISMSの認証取得が取引先からの要請や取引の条件になっているなど、導入要請が高まっています。
この記事では、ISMSの基本情報に加え、認証を取得するメリットや認証取得の流れを詳しく解説します。プライバシーマーク(Pマーク)との違いにも触れるため、十分なセキュリティ対策や情報資産管理を行いたい方や、企業の信頼性を高めたい方は、ぜひ参考にしてください。
1.ISMS(ISO/IEC27001)とは?
ISMSとは、事業に必要な情報セキュリティの確保や管理に役立つ仕組みです。ISMSは「Information Security Management System」の略で、「情報セキュリティマネジメントシステム」と日本語訳されます。
ISO/IEC27001に基づき、企業の事業環境に応じた情報セキュリティリスク管理の仕組みを導入することで、ISMSの認証取得が可能となります。
ISMSの日本国内向け認証基準としてJIS Q 27001がJIPDECより発行され、「ISMS適合性評価制度」が運用されています。内容はほぼISO/IEC27001の日本語訳であり、導入企業にとってはISOの認証制度と審査手続きも同様ですので、取引先を考慮しISOとJISのどちらかないしは両方の認証を取得して下さい。
1-1.ISMSで定義された情報セキュリティの3要素
ISMSで定義された情報セキュリティの3要素は、以下の通りです。
・機密性
ISMS認証には、許可されていない個人や組織への情報漏えいの阻止が求められます。個人情報や機密情報は、限られた人だけがアクセスできるパスワード付きフォルダに格納するなどの対策が必要です。
・完全性
ISMS認証には、情報を正確な状態で保つことが求められます。情報の改ざんや削除を防ぐために情報を編集できない状態で外部に渡したり、アクセス履歴を残したりすることも1つの方法です。
・可用性
ISMS認証には、許可されている個人や組織などが必要に応じてアクセスまたは利用できる状態であることが求められます。システムの二重化やクラウド化などの方法が挙げられます。
1-2.Pマークとの違い
Pマークは、プライバシーマネジメントシステム(Privacy Management System:PMS)という企業の個人情報を管理する仕組みに関する、JIPDECが運営する日本国内向けの認証制度です。マネジメントシステムとしてはISMSを参考とした規格ですが、次の違いがあります。
| ISMS認証 | Pマーク | |
|---|---|---|
| 保護する情報の範囲 |
|
|
| 認証単位 | 事業(法人、拠点、部署) | 法人 |
| 規格 |
|
|
ISMSの保護対象はあらゆる情報資産ですが、PマークのPMSは個人情報に特化しています。そのため、Pマークは、個人情報の保護をアピールしたいBtoCビジネス企業が多く認証を取得しています。
2.ISMS導入のメリット
ISMSの導入は、事業に必要な情報セキュリティリスクマネジメントの確立だけでなく、認証取得により、顧客や取引先へのアピールにもつながります。
ここでは、ISMS導入のメリットを3つ紹介します。
2-1.情報セキュリティレベルが上がる
ISMSを導入することで、一般的に、不足していた、事業に必要なセキュリティ対策が明らかになり、レベルが上がります。
認証取得という分かりやすい目標を掲げることで、従業員の情報セキュリティ意識向上もしやすくなります。
また、情報セキュリティに関する事業環境が整えられることで、従業員が安心して情報資産を活用し業務に取り組めるようになるなどの効果も期待できます。
2-2.適切なセキュリティ管理の証明
顧客や取引先に対して適切な情報セキュリティ管理がされていると証明できることも、ISMS認証を取得するメリットの1つです。説明の難しい情報セキュリティ管理の適切さを、ISMS認証により共通言語として証明できます。
取引時の条件としてISMS認証取得を要請する企業もあるため、競合他社との差別化にも効果的と言えます。現在の顧客や取引先との関係維持はもちろん、新規開拓にも大きなアドバンテージとなります。
2-3.IPOの準備がスムーズに行える
IPOを目指している企業にとって、ITシステムの管理やコントロールは課題の1つです。IPOを控えている中で情報漏えいなどの問題が発生した場合、IPOが延期や中止となる可能性があるため注意が必要です。
ISMSの導入はIPOに必須というわけではありませんが、事業に必要なセキュリティレベルの確保や、IT統制整備の工数削減効果もあります。
また、IPOの前後は周囲からの注目度も高まります。ISMS認証取得をうまくアピールして、新規顧客の獲得や取引先の拡大につなげましょう。
3.ISMS認証を取得する流れ
ISMS認証の取得には、書類やマニュアルの作成などの工数がかかります。取得に向けた準備を進めるためにも、まずはISMS認証取得の流れをしっかりイメージしておきましょう。
ISMS認証の取得プロセスは「ISMSの構築」「ISMSのパイロット運用」「審査と準備」の3つがあります。
3-1.ISMSの構築
1.現状把握
構築前のセキュリティの状態や文書策定の状況を見て計画の参考にする。
2.教育・トレーニング
ISMS構築概要セミナーを通じて理解を深める。
3.構築計画策定
タスクを洗い出し、タイムチャートを引く。また、構築の推進体制を整える。
4.情報遺産の洗い出し
情報資産を識別し、情報資産の重要性を評価する。
5.リスクアセスメント
各情報資産固有のリスクの識別・分析・評価を行う。
6.リスク対応・管理策の選択
リスクの取り扱い方法(リスク対応)を決め、管理策を選択する。
各プロセスに並行し以下を実施します。
a.基本方針策定
ポリシーを策定する。
b.対策基準の策定
スタンダードを策定する。
c.実施手順策定
プロシージャを策定する。
3-2.ISMSのパイロット運用
7.リスク対応計画策定
管理策の実装・実行の計画を立てる。
8.管理策の導入・実装・修正
管理策を導入・実装し不具合のある管理策を修正する。
9.一般従業員向け教育・トレーニング
一般従業員向けISMS運用前セミナーを通じ理解を深める。
10.内部監査員向け教育・トレーニング
内部監査員養成セミナーを通じ理解を深める。
11.内部監査の実施
管理策が適切に実装されているか否かを監査する。
3-3.審査と準備
12.是正措置
内部監査や予算審査の結果、不適合箇所を是正する。
13.本審査
認証取得の審査を行う。審査は2回あり、文書審査では対策基準や実施手順が要求事項に適合しているか審査を受け、現地審査では企業内で有効に運用されているか審査を受けます。
14.認証取得
ISO27001認証を取得します。審査後に問題があった場合、是正処置により取得が可能です。
4.ISMS導入時の留意点
ISMS取得を目指すにあたり、すでに運用しているルールが存在していることが大半です。ISMS取得に向けて現実的ではない運用ルールを策定してしまったり、ISMS運用と独自ルールの二重運用が発生するといったことが起こりえません。
自社の実態や運用に適したISMS運用となるように設計することが重要です。適さない運用を敷いた場合、コスト増や運用メンバーへの負担増など、持続可能性が著しく低下する恐れがあり注意が必要です。
まとめ
ISMSの導入は、事業に必要な情報セキュリティ管理の確立や、認証取得による適切な情報セキュリティ管理の証明、入札条件への適合などビジネス機会の拡大にもつながります。
一方で、ISMSの導入に関心があるものの、具体的な構築手順がイメージしにくい方や、スムーズに認証を取得できるかどうかを不安に思う方もいるのではないでしょうか。サイバーセキュリティ教育カンパニー「GSX」ではISO/IEC27001(ISMS)の導入及び認証取得の支援を実施しております。業種・業界を問わない豊富な支援実績がございますので、ぜひお気軽にご相談ください。
ISO27001(ISMS)認証取得支援について相談する
https://www.gsx.co.jp/inquiry
本記事のシェアはこちらから