2024年9月24日
ISMS認証は、組織が情報セキュリティを適切に管理し、維持していることを評価し、認証する制度です。2024年9月現在、8000近い組織がISMS認証を取得しています。ISMS認証の取得により、情報資産の保護、信頼性、法令遵守を確保していることが証明されます。ISMS認証の取得には、情報セキュリティの3要素である機密性・完全性・可用性を理解しましょう。
目次
- 1.ISMS(ISO27001)認証とは
- 2.ISMS認証の情報セキュリティとは?
- (1)機密性(Confidentiality)
- (2)完全性(Integrity)
- (3)可用性(Availability)
- 3.ISMS認証のマネジメントシステムとは?
- 4.ISMS認証を取得すべき理由
- 5.ISMSに関する規格について
- 6.ISMS認証制度のしくみ
- 7.ISMS認証の審査
- (1)審査基順
- (2)審査の種類 (新規認証・維持審査・更新審査)
- 8.ISMS認証を取得する流れ
- 9.ISMS認証のメリット・デメリット
- (1)メリット
- (2)デメリット
- 10.ISMS認証を取得している企業の特徴
- 11.ISO27001、Pマークとの違い
- (1)ISMSとISO27001の違い
- (2)ISMS(ISO27001)とプライバシーマーク(Pマーク)の違い
- 12.認証にかかる費用の相場
- まとめ
1.ISMS(ISO27001)認証とは
ISMS(ISO27001)認証は、組織が情報セキュリティを適切に管理し、維持し続けていることを評価・認証する制度です。
ISMS(Information Security Management System)とは、情報セキュリティマネジメントシステムの略称で、組織が情報セキュリティを管理・運用するための枠組みやプロセスのことです。
情報技術の急速な発展とともに情報漏洩やサイバー攻撃が増加し、組織の情報資産の保護が急務となったことからISO27001が策定され、ISMS認証制度が普及していきました。
認証を取得することで、組織が情報資産を保護し、セキュリティに対する信頼性と法令遵守を確保していることが証明されます。
ISMS認証においては、機密性・完全性・可用性という情報セキュリティの三つの重要な要素を維持することが求められます。これらの要素をどのように適切に管理し、保護するかが、認証取得のための重要なポイントとなります。
2.ISMS認証の情報セキュリティとは?
情報セキュリティとは、機密性・完全性・可用性の基本要素を適切に保護・管理することを指します。
これらの要素を守ることが情報資産を保護する上で重要であり、ISMS認証取得に必要な条件となります。
これらの3要素はまとめて「CIA(シーアイエー)」と呼ばれることもあります。
(1)機密性(Confidentiality)
機密性とは、情報が許可された者だけがアクセスできる状態を保つことを指します。
このため、アクセス制御や暗号化技術などが活用され、機密情報が漏洩するリスクを最小限に抑えることが求められます。
(2)完全性(Integrity)
完全性とは、情報が正確に維持され、他者による不正な改ざんや破壊から守られていることを意味します。
情報の変更履歴を追跡する仕組みや、データバックアップ、定期的な監査が完全性維持のために重要です。
(3)可用性(Availability)
可用性とは、許可されたユーザーが必要なときに情報やシステムにアクセスできることを保証することを指します。
冗長設計、サーバーの負荷分散、バックアップ電源などの措置が可用性向上のために役立ちます。
これらの要素を保全し、さらに向上させるための取り組みや、情報セキュリティリスク管理を持続的に行うことが、情報資産やシステムを適切に保護するため、そしてISMS認証を取得し維持するためには不可欠となります。
3.ISMS認証のマネジメントシステムとは?
マネジメントシステムは、組織を特定の目標に向かって効果的に指導・管理するための仕組みです。
情報セキュリティにおいては、情報資産を適切に管理し、機密性・完全性・可用性を確保するための組織のルールや体制、そしてその効果を改善する仕組みとなります。
例えば、情報漏洩を防ぐためには、内部からの情報漏洩を防止するための方針を立てます。不正な操作を抑止するためには、操作ログ管理ソフトを導入し、情報漏洩時には追跡を行うことで効果を検討します。
しかし、取り決めたルールが競合し、現場の状況と乖離することが起こり得ます。このような問題を避けるためには、まとまりのあるルールを制定・運用していくことが求められます。PDCAサイクルに沿って組織の課題の特定から対策検討、ルール化・運用といったことを行っていきます。
4.ISMS認証を取得すべき理由
ISMS(情報セキュリティマネジメントシステム)認証を取得すべき理由はいくつかあります。
まず第一に、情報セキュリティに対する信頼性を高めることができます。
ISMS認証を取得することで、組織が情報セキュリティに真剣に取り組んでいることを外部の利害関係者に示すことができます。
また、ISMS認証を取得することで、情報セキュリティに関する法的要件や規制に適合することができます。多くの業界や国で、情報セキュリティに関する法的要件や規制がありますが、ISMS認証を取得することでこれらに適合することができます。
さらに、ISMS認証を取得することで、情報セキュリティに関するリスクを管理し、軽減することができます。組織が情報セキュリティに関するリスクを適切に管理することで、情報漏洩やセキュリティ侵害などのリスクを最小限に抑えることができます。
これらの理由から、組織が情報セキュリティを重視し、信頼性を高め、法的要件や規制に適合し、リスクを管理するためには、ISMS認証を取得することが重要です。
5.ISMSに関する規格について
ISMSの規格として、ISO(国際標準化機構)とIEC(国際電気標準化機構)が共同で策定したISO/IEC 27001と、これをJIS(日本工業規格)が日本語訳したJIS Q 27001が存在します。両者の内容は同じと考えて差し支えありません。
ISO27001は正確には「ISO/IEC 27001 情報技術-セキュリティ技術-情報セキュリティマネジメントシステム-要求事項(ISO/IEC 27001 Information technology -Security techniques-Information security management systems-Requirements)」と呼ばれ、組織がISMSを構築するための要求事項をまとめた国際規格です。
ISO27001およびJIS Q 27001は、それぞれ本文と附属書Aに分かれています。本文にはISMS構築のために実施しなければならない要求事項が記載されており、附属書Aには要求事項に対応するための管理策が93項目挙げられています。
管理策については、組織によって対応する・しないの選択が可能ですが、対応しない場合には適用宣言書に理由を記載する必要があります。
6.ISMS認証制度のしくみ
ISMS認証制度は、組織が情報セキュリティマネジメントシステム(ISMS)を構築し、それが国際標準であるISO27001(JISQ27001)に適合しているかを評価する仕組みです。
この制度においては、以下のような役割が存在します。
- 認定機関 :認証機関や要員研修機関を審査し、一定の基準を満たしているかを評価・管理する
- 認証機関 :組織のISMSを審査し、ISO27001に適合しているかを判断し、ISMS認証を付与する
- 要員研修機関:審査員に対し、ISMS審査に関する研修を行う
- 審査員 :認証機関から第三者として組織のシステムやプロセスを審査する
このシステムにより、組織は信頼性のある第三者機関からISMS認証を受けることができ、情報セキュリティ管理が適切に行われていることを明らかにすることができます。
この仕組みのことを「ISMS適合性評価制度」と言います。
ISMS適合性評価制度についてはこちらの記事を参照してください。
7.ISMS認証の審査
ISMS認証の審査基準は、ISO27001に基づいています。
審査では、組織の情報セキュリティマネジメントシステム(ISMS)が、これらの標準に適合しているかどうかを評価します。
審査を受けるには運用記録が必要です。
維持審査は1年分、更新審査は3年間分です。
運用記録には情報リスクアセスメント表やリスク対応などがあります。
審査の詳細についてはこちらの記事を参照してください。
(1)審査基順
ISMS認証の審査基準は、規格要求を満たしているかどうかを基準に審査されます。
簡単に説明すると、ISMSの規格は全世界で共通の規格がありますが、大手企業と中小企業ではやり方や管理方法に違いが出てくる場合があります。会社のルールを作成し、そのルールが共通の規格要求を満たすことができ、そしてそのルールに従って業務が遂行されているかが審査のポイントとなります。
(2)審査の種類 (新規認証・維持審査・更新審査)
【新規認証】
ISMSの審査にはいくつかの種類があります。
まず、新規認証時の審査では一次審査と二次審査があります。ただし、呼び方は審査機関によって異なる場合があります。
審査内容としては、ISMSの認証が適切かどうかを確認するものです。
一次審査では、文書や帳票類のチェックを中心とした審査が行われ、上記で説明した規格要求を満たした会社のルールが適切に作成されているかが確認されます。
二次審査では、作成したルールが実際に機能しているかが確認されます。ルールがあっても現場で実施されていなければ意味がありません。
審査の日数などは会社の規模によって異なります。一次審査と二次審査の間には通常、約1か月の期間が設けられます。
次に、認証完了後の翌年からの審査についてです。維持審査と更新審査の2種類があります。
【維持審査】
まず、維持審査です。前回の審査からの運用状況を確認する審査です。
維持審査の目的は、ルールがくずれていないか、現場で引き続きルール通りに仕事ができているかを確認することです。
イメージとしては定期的な確認に近いため、審査工数(審査員の工数)は、新規認証時よりも少ないことが多いです。
【更新審査】
最後に更新審査があります。3年に1回更新があります。
3年間分の運用状況を確認する審査です。そのため、維持審査分の確認も改めて実施します。
更新審査の目的は、ISO認証の更新に問題はないかを確認し、3年単位での運用を確認することです。
3年間が範囲の為、維持審査より審査工数は多いです。
8.ISMS認証を取得する流れ
認証取得までの期間は企業によって大きく異なりますが、一般的には半年から1年程度かかることが多いです。
ISMSを取得するためには、まず認証範囲を決めることから始めます。
認証範囲とは、ISMSを適用する範囲のことです。ISMSは全社単位だけでなく、部署ごとに取得することも可能です。
例えば、新規事業を始める際に、その新規事業だけでISMSを顧客から求められた場合、その部署だけで取得することができます。認証範囲を決めた後は、社内の体制を整備し、準備を進めます。
そして、審査を受け、合格すれば認証を取得することができます。
ISMS認証取得までのプロセスは、大きく4つのステップに分けることができます。
- 認定範囲を決定する。
- ISMSの運用ルールや手続きを整備し、社内の情報セキュリティ対策を強化する。
- 第三者機関による審査を受け、結果に基づいて改善事項があれば対応する。
- 審査に合格し、認証登録される。
この(1)~(4)のステップを経てISMS認証完了です。
取得までの対応事項についてはこちらの記事を参照してください。
9.ISMS認証のメリット・デメリット
(1)メリット
- 業務品質の向上:ISMS認証を取得することで、情報セキュリティ管理体制が整備され、組織全体の業務品質が向上します。
- 信頼性の向上:認証取得により、取引先や顧客からの信頼性が向上し、新たなビジネスチャンスに繋がることが期待できます。
- 情報漏洩リスクの軽減:定期的な審査や遵守項目の徹底により、情報漏洩のリスクが軽減されます。
- 大手企業からのセキュリティ調査への対応力向上:ISMS認証を取得していることで、大手企業からのセキュリティ調査に対しても適切に対応することが可能となります。
- テレワーク導入企業の増加に対応:最近増加しているテレワークやリモートワークにおいても、適切な情報セキュリティ管理を実現できます。
(2)デメリット
- コストと時間の負担:ISMS認証の取得には、審査費用や維持費用、社内での対応に要する人的リソースが必要です。
- 過剰なセキュリティ対策:認証取得を目指すあまり、過剰なセキュリティ対策がとられる場合があり、業務効率が低下する可能性もあります。
これらのメリット・デメリットを考慮し、組織のニーズやリソースに応じて、ISMS認証取得の是非を検討することが重要です。
ISMS取得の必要性について迷っている企業様はこちらの記事も参照してください。
10.ISMS認証を取得している企業の特徴
ISMS認証を取得している企業には、以下のような共通点が考えられます。
- B to C取引ではなく、B to Bで取引を行っている企業
- IT業界やシステム開発、情報通信業など、個人情報の取り扱い量は少ないが、取り扱う情報量が多く、セキュリティに配慮しなければならない業界
- 大手企業などで、組織の情報セキュリティ管理体制を強化したい企業
11.ISO27001、Pマークとの違い
(1)ISMSとISO27001の違い
ISMSは、情報セキュリティマネジメントシステムを指し、組織における情報セキュリティを維持・向上させるためのシステム全体を意味します。
一方、ISO 27001は、国際規格であり、ISMSの設計、実装、運用、監視、維持、そして継続的な改善に関する要件を定めたものです。
つまり、ISMSは情報セキュリティ管理のシステムそのものであり、ISO 27001はそのシステムを構築・維持するための国際規格です。
ISMS認証は、組織が情報セキュリティ管理に対する国際的な基準であるISO 27001に適合していることを示すものです。
(2)ISMS(ISO27001)とプライバシーマーク(Pマーク)の違い
プライバシーマークとISMS(ISO27001)では、保護する対象が異なります。
プライバシーマーク(Pマーク)は個人情報を対象とし、ISMS(ISO27001)は情報資産全体を対象とします。比較すると、ISMS(ISO27001)の方が保護対象の範囲が広く、マネジメントシステムの構築に時間を要することが多いです。
また、プライバシーマーク(Pマーク)は日本国内でのみ通用する規格です。
一方、ISMS(ISO27001)は国際標準規格ISO27001に基づいて運用されるため、国際的な認証と言えます。国際基準での情報セキュリティが認証されるため、国際的な取引が必要な企業はISMS(ISO27001)を取得するケースが多いです。
ISMSとPマークの比較について詳細はこちらの記事を参照してください。
12.認証にかかる費用の相場
ISMS認証にかかる費用は、企業規模や審査内容によって異なりますが、大まかな相場は以下の通りです。
- 初回認証の審査費用 :約50万~130万円
- 認証維持費用(年間):約30万~80万円
また、ISMSを取得する際にコンサルティング会社のサポートを受ける場合、コンサルティング費用として年間数十万円から数百万円かかります。
具体的な費用については、認証機関やコンサルティング会社に問い合わせることが望ましいです。
審査費用に関する詳細はこちらの記事を参照してください。
まとめ
ISMS認証は、情報セキュリティ管理の評価・認証制度であり、組織に多くのメリットをもたらします。
具体的には、業務品質の向上、取引先や顧客からの信頼性の向上、そして情報漏洩リスクの軽減が挙げられます。これにより、新たなビジネスチャンスが生まれることも期待できます。
認証範囲の決定は、組織の実情と関係者の意見を十分に考慮し、適切な範囲を設定することが重要です。
これにより、効果的な情報セキュリティ管理体制を構築し、維持することが可能となります。ISMS認証の取得は、組織全体のセキュリティ意識を高め、持続的な改善を促進するための重要なステップです。
ISO・Pマーク(プライバシーマーク)に関することなら
何でもお気軽にご相談ください
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!お問合せは
こちらから全国どこでもオンラインで対応!
気軽にご相談ください!相談予約は
こちらから
お電話受付:平日9:30〜17:00
認証パートナーのサービスご説明資料
8,000社以上の支援実績に裏付けされた、
弊社サービスの概要を紹介しております。
資料の内容
- ・当社のサポート内容
- ・規格の概要
- ・取得までに必要な審査費用
ISMS(ISO27001)認証パートナー
サービスのご案内
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
-
Pマーク
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。Pマークの認証ページへ -
ISO9001
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。ISO9001の認証ページへ -
ISMS・ISO27001
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。ISMS/ISO27001の認証ページへ -
ISO14001
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。ISO14001の認証ページへ -
ISO27017など各種対応規格
ISO27017やISO22000など各種規格もお得に 新規取得や運用・更新ができます。ご気軽にお見積りください。
ISO27017など各種対応規格ページへ -
複数規格の同時取得
ISOやプライバシーマークを同時に認証取得すると費用や工数を抑えることができます。安心してご相談ください
複数規格の同時取得ページへ