2024年3月8日
ISMS(ISO27001)の取得には、早くて6か月、長くて1年程度かかり、大きく7ステップで考えると良いです。ISMSを取得することで顧客の要求を満たせたり、入札に参加できるようになる等の大きなメリットがあります。情報セキュリティを強化したい方は、ISMSの認証取得を検討してみましょう。
目次
- 1.ISMSとは
- 2.ISMS取得のメリット
- (1)入札に参加できるようになる・顧客から仕事を受けることができる
- (2)お客様を含め外部にセキュリティ面でのアピールができる
- (3)組織内のセキュリティ意識が向上する
- 3.ISMS(ISO27001)取得の流れと期間
- (1)取得の計画を立てる
- (2)認証機関の選定
- (3)情報セキュリティマネジメントシステムの構築
- (4)情報セキュリティマネジメントシステム(ISMS)の運用
- (5)社内チェック(内部監査)とトップへの報告(マネジメントレビュー)
- (6)審査を受ける
- (7)認証取得完了
- 4.ISMS認証取得にかかる費用
- ⑴審査費用
- ⑵社内での準備費用
- 5.ISMSとPマーク、どちらを取得するのがいい?
- 6.関連のある規格:ISO27017
- まとめ
1.ISMSとは
ISMS(ISO27001)とは、「情報セキュリティマネジメントシステム」を指します。
簡単にまとめると、企業・組織として情報を管理し、守るための体制を整えていくことです。
企業・組織として管理すべき情報でも、重要性は異なってきます。また、ルールや基準がなければ行動することもできません。
基準を作るべきは、ただソフト面の体制だけではありません。ハード面や社員が取ってはいけない行動等もルール・基準として定めていく必要があります。
このように、ハード面・ソフト面の観点からリスク対策を行い、また情報を使いやすい体制に整備していく必要があります。
詳しくは以下をご参照ください。
ISMS(ISO27001)とは?Pマークとの違いや規格の概要、立ち位置を解説
2.ISMS取得のメリット
ISMS(ISO27001)認証を取得すると、以下のメリットがあります。
- 入札に参加できるようになる・顧客から仕事を受けることができる
- お客様を含め外部にセキュリティ面でのアピールができる
- 組織内のセキュリティ意識が向上する
(1)入札に参加できるようになる・顧客から仕事を受けることができる
行政や自治体の仕事を受けるための入札条件に、ISMS認証を取得していることが条件となっている場合が多くなっています。
ISMSを取得することで、事業拡大や売上向上を目指せる等といったメリットがあります。
(2)お客様を含め外部にセキュリティ面でのアピールができる
ISMSを認証している組織は情報セキュリティに関する一定の基準をクリアしている企業として外部へセキュリティの信頼性をアピールすることができます。
第三者からの客観的な評価になるので顧客や外部業者から信頼を得ることができます。
しかしISMSを認証しているからといってセキュリティレベルが非常に高いということをアピールするものではありません。
(3)組織内のセキュリティ意識が向上する
ISMSを認証、維持していくために、従業員への教育、方針の策定、役割の認識等を実施する必要があります。
そのため、ISMS認証を取得する組織ではセキュリティ意識が向上します。
3.ISMS(ISO27001)取得の流れと期間
ISMS取得の流れはPDCAサイクル(Plan-Do-Check-Act)の考え方に基づいて進み、キックオフから取得完了まで早くて6か月、長くて1年ほどかかります。
Plan(計画):ISMS取得の目標を設定し、スケジュールを作成しリソースを確保する
Do(実行):情報セキュリティマネジメントシステム(ISMS)を構築し運用する
Check(評価):内部監査でISMSの運用状況を確認し、マネジメントレビューで経営層に運用状況を報告する
Act(改善):一次審査と二次審査を通じてISMSの構築と運用を確認し、必要な改善を行う
このような流れでISMSの認証を取得し、その適切な運用を維持します。
それぞれのステップについて細かく見ていきましょう。
(1)取得の計画を立てる
ISMS取得のためには、まず計画を立てることが重要です。
計画では、まずは取得目的からISMSの認証範囲の決定や、いつまでに取得するのかといった目標を定めましょう。
また、取得までには審査費用等の費用がかかります。審査費用はもちろんのこと、社内で必要な設備やコンサルティング費用も考慮して予算を見ておくと良いでしょう。
上記を踏まえ社内責任者を選定し、プロジェクトチームとして活動を進めると良いでしょう。
(2)認証機関の選定
次に、認証してもらう機関(審査機関)を選定します。認証機関は、ISMSの基準を満たしているかを審査し認証を行います。
認証機関によって審査費用や審査の進め方に違いがあるため、組織に見合う認証機関を選定しましょう。
(3)情報セキュリティマネジメントシステムの構築
認証機関の選定後、情報セキュリティマネジメントシステム(ISMS)を構築します。
ISMSの規格要求事項に合わせて社内ルールを策定しましょう。
これには、情報セキュリティポリシーの策定・リスクアセスメントの実施・リスク対策の選定と実施などが含まれます。
(4)情報セキュリティマネジメントシステム(ISMS)の運用
実際にISMSの運用を行います。
(3)で定めた社内ルールに基づいて業務を行います。
(5)社内チェック(内部監査)とトップへの報告(マネジメントレビュー)
ISMSの運用状況を確認するために、内部監査を行います。
また、マネジメントレビューで経営層にISMSの運用状況を報告します。
(6)審査を受ける
・一次審査
一次審査では、文書フォーマットの確認を中心とした審査が行われます。
ISMSの関連文書(マニュアル等の規程類)が適切に整備されているかが確認されます。
・二次審査
二次審査では、ISMSの関連文書に沿って実際の運用状況が確認されます。
一次審査で確認した書面上のルールが実際に機能しているのか、従業員がルールを守っているのかがチェックされます。
(7)認証取得完了
審査を通過すると、ISMSの認証を取得できます。
認証取得後も、定期的な審査を受けることで、ISMSの適切な運用を維持します。
4.ISMS認証取得にかかる費用
ISMS認証取得にかかる費用は、大きく分けて以下の2つに分類されます。
⑴審査費用
新規取得の場合は一次審査と二次審査の費用がかかります。
認証取得後も、定期的な監査(サーベイランス)が必要となります。これにかかる費用も考慮する必要があります。
どちらも認証機関や認証範囲によって変わりますが年間で数十万円から数百万円程度が一般的です。
⑵社内での準備費用
ISMSの構築や運用、内部監査などにかかる人件費や教育費、コンサルティング費用なども考慮する必要があります。
これらの費用は、企業の規模や業種、認証機関の選定、ISMSの構築状況などにより大きく変動します。
そのため、具体的な金額を出すのは難しいですが、全体として数百万円程度が目安となるでしょう。
詳しくは以下をご参照ください。
ISMS(ISO27001)新規取得費用いくら見ればいいの?
5.ISMSとPマーク、どちらを取得するのがいい?
どちらの認証も重要になるため、組織ごとにどちらが適しているかを判断していきましょう。
違いを表にまとめます。
| 規格 | ISO27001 | Pマーク |
|---|---|---|
| 対象事項 | 情報資産全般 | 個人情報のみ |
| グレード | 国際規格 グローバル視点で評価に値する | 国内規格 |
| 審査の違い | ■簡単 ①審査時に、「広く・浅く」見られる ②リスクに応じて対策が打てる、 ルールに自由度有③ 認証範囲を選べる(全社・事業部・拠点等)④審査機関すべて価格が違う=競争原理ある ⑤審査日数が対象人数に応じて変わる ⑥コンサルタントの審査立会が可能 | ■難しい ①審査時に 「狭く・深く」見られる②個人情報保護を基準に平均的なリスク対策が必要 ③ 組織全体で認証④審査機関すべて価格が同じ= 競争原理なし⑤審査が1日で終わる ⑥審査は従業員のみが立会可能 |
| 審査の頻度 | 3年に1回更新 審査は毎年1回以上 | 2年に1度 |
| 取引要件として | ISO27001が取引要件= ×Pマーク | Pマークが取引要件= 〇ISO27001認証 |
6.関連のある規格:ISO27017
ISO27017とは、クラウドセキュリティに関するISOのことです。
ISO27017を取得したい場合、先にISO27001(ISMS)を取得しておくか、ISMSとISO27017を同時に取得する(アドオン規格)必要があります。
取得するメリットとしては、セキュリティ体制の対外的アピールができたり、官公庁入札、大手クライアントの仕事請負/口座開設ができたりするなどのメリットがあります。
取得するべき組織は、クラウドサービスの提供をしている組織です。
一般的に「SaaS」「PaaS」「IaaS」関連のサービスを提供する企業が対象となります。
まとめ
ISMS(ISO27001)取得の流れは7ステップです。
- 取得の計画を立てる
- 認証機関の選定
- 情報セキュリティマネジメントシステム(ISMS)の構築
- 情報セキュリティマネジメントシステムの運用
- 内部監査・マネジメントレビュー
- 審査を受ける
- 認証取得
自社のみのリソースで取得を目指すと約1年ほどかかるでしょう。コンサルティング会社の支援を受けると6か月ほどで取得できるでしょう。
ISMS(ISO27001)取得には以下のようなメリットがあります。
- 入札に参加できるようになる・顧客から仕事を受けることができる
- お客様を含め外部にセキュリティ面でのアピールができる
- 組織内のセキュリティ意識が向上する
Pマークとの違いを理解し、審査方法や審査にかかるコストを把握し、適切な認証を受けるようにしましょう。
クラウド関連のサービスを提供している組織は必要に応じISO27017の取得も検討するとよいでしょう。
ISO・Pマークについてのお悩みはありませんか?
← 記事の内容をまとめた動画はこちら!!
\ フォローしてね /
- SNSでシェア
- Tweet
のコンサルって何をやってくれるの?-480x270.png)
ISO・Pマーク(プライバシーマーク)に関することなら
何でもお気軽にご相談ください
0120-068-268
お電話受付:平日9:30〜17:00
お電話受付:平日9:30〜17:00
-
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!
お問合せは
こちらから -
全国どこでもオンラインで対応!
気軽にご相談ください!
相談予約は
こちらから
認証パートナーのサービスご説明資料
新規認証や運用・更新にあたって
当社が請け負うことをわかりやすくまとめました。
ぜひご検討の参考にしてください。
資料の内容
- ・当社のサポート内容
- ・規格の概要
- ・取得までに必要な審査費用
ISMS(ISO27001)認証パートナー
サービスのご案内
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
-
Pマーク
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。Pマークの認証ページへ -
ISO9001
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。ISO9001の認証ページへ -
ISO14001
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。ISO14001の認証ページへ -
ISMS・ISO27001
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。ISMS/ISO27001の認証ページへ