2026年4月2日
ISO27001の要求事項には、「ISO27001を取得するために企業が実現するべき要件」が明記されています。社内で管理する情報、社外に持ち出す情報などさまざまな場面での情報セキュリティに関する方針を決定すること、また内部監査などのルールなどが挙げられます。
目次
もっと見る
「ISO27001の要求事項は言葉が難解で、具体的に何をすればいいか分からない」と悩んでいませんか?要求事項の正しい理解は、スムーズな認証取得への第一歩です。
実は、要求事項は「仕組み」と「実施」の2つに整理するだけで、驚くほどシンプルに理解できるようになります。
この記事では、ISO27001の要求事項の全体像を一覧表で分かりやすく解説し、特に押さえるべき重要ポイントを厳選して紹介します。
読み終える頃には、「不適合」を防ぐための具体的なアクションが明確になり、自信を持って審査へ臨めるようになるはずです。
1.ISO27001の要求事項の概要
(1)ISO27001の要求事項とは、守らなければいけない規定のこと
ISO27001の要求事項とは、ISO27001を取得するために企業が守らなければいけない規定のことです。
規定が守られているかを審査で確認され、通過すればISO27001認定企業として認められます。
例えば、「情報セキュリティに必要な能力を明確にし、全従業員がそのレベルに達するよう教育し、その証拠を残しなさい」といった規定です。
このような規定に沿って、体制を作り・運用を続けることで、ISO27001は取得できます。
(2)主に「実施」と「仕組み」が要求されている
要求事項で求められていることは、大きく分けると「実施要求」と「仕組み要求」の2つあります。
これらを、① 構築(仕組みを作る) ② 運用(決めたことを実施する) ③ 改善(仕組みと実施を見直す)というサイクルで回していくことが、ISMS(情報セキュリティマネジメントシステム)の本質です。
①実施要求
- 実際の業務として継続的に「やる」ことが求められるもの
- 内部監査、教育、記録管理、アクセス制御など
→「やった証拠(記録)」が求められます。
②仕組み要求
- 組織として制度や体制の「整備」や「決定」が求められるもの
- 方針の策定、リーダーシップの示し方、適用範囲の明確化など
→「方針を定めた」「体制を作った」という状態を示せば大丈夫です。
(3)ISO27001の要求事項を見るには?
ISO27001(ISO/IEC 27001)の要求事項を見るためには、書籍を購入しなければなりません。
一般財団法人日本規格協会の書籍販売サイトで購入できます。
このサイトでは、ISO27001(ISO/IEC 27001)をはじめ、さまざまなISO規格が入手可能です。
サイトにアクセス後、画面左側の「規格・書籍・物品を探す」から「ISO規格」を選択し、検索窓に「27001」と入力して「検索する」をクリックしてください。これで、ISO 27001(ISO/IEC 27001)の規格を購入できるページへと移動します。
2.ISO27001の要求事項を一覧で解説
ISO27001の要求事項は、以下の項目で分けられています。
| 章 | 要求項目 | 概要 |
|---|---|---|
| 0 序文 | – | 規格の概要や他のマネジメントシステム規格との両立性について述べられています |
| 1 適用範囲 | – | この規格が適用される範囲を定めます |
| 2 引用規格 | – | この規格で引用されている他の規格が示されます |
| 3 用語及び定義 | – | 規格内で使用される専門用語とその定義が規定されています。特に、ISMSファミリ規格の用語及び定義については、JIS Q 27000が制定されていることが注記されています |
| 4 組織の状況 | 仕組み要求 | 組織内外の課題や利害関係者のニーズ把握を行った上で、適用範囲を決めることが要求されています。組織内の場合、従業員の声やニーズ等を、組織外の場合は、取引先だけでなく外注先や購買先等を、広く定義しています。 |
| 5 リーダーシップ | 仕組み要求 | 適用範囲の中で組織を指揮する最高責任者がコミットメントしないといけないということが要求されています。コミットメントとは、「約束を必ず果たす」ということです。担当者まかせではなく、最高責任者がリーダーシップを発揮しなければなりません。 |
| 6 計画 | 仕組み要求 | PDCAサイクルの『P』の部分です。リスクアセスメントを行い、情報セキュリティの目的とそれを達成するための計画を作るよう、求められています。※PDCAサイクル=Plan(計画)、Do(実行)、Check(評価)、Action(改善)の頭文字を取ったものです。 |
| 7 支援 | 両方 | どのような知識、経験等を持つ必要があるかを定め、担当者がその knowledge を有しているかを確認しなければなりません。もし、力量が不足していると判断された場合は、教育など、何らかの処置を講じる必要があります。 |
| 8 運用 | 実施要求 | PDCAサイクルの『D』の部分です。6項で定めたリスクアセスメントやリスク対応を実施するため、計画、実施、管理が必要です。また、実施するだけでなく、計画通り実行できているのか、確認が取れる状態にあるかを文書として作成する必要があります。 |
| 9 パフォーマンス評価 | 両方 | PDCAサイクルの『C』の部分です。パフォーマンス及び有効性評価を定めています。評価を行うためプロセスと管理策、監視、測定、分析及び評価方法、実施時期、評価時期の決定が必要です。また、「内部監査」と「マネジメントレビュー」も規定されています。 |
| 10 改善 | 実施要求 | PDCAサイクルの『A』の部分です。不適合が発生した場合の是正処置(再発防止への対応)の手順を明確にし、修正(適合の状態に戻す対応)と、その結果の影響を把握し、フォローし、記録しなければなりません。 |
| 付属書A(管理策) | 両方 | 特定のリスクを目的とした対策を示したガイドラインのようなものです。リスク評価をし、どの管理策を当てはめて対応していくのかを決めます。 |
3.ISO27001の要求事項への対応で特に押さえるべき内容
ISO27001の要求事項へ適切に対応するためには、規格の言葉を理解するだけでなく、具体的に実施していく必要があります。
ここでは、構築から運用、審査において特に重要となる3つの対応ポイントを解説します。
(1)情報セキュリティ方針と目的の策定
ISO27001を構築する際、まず着手すべきはトップマネジメントによる意思決定です。「方針」という大きな方向性と、「目的」という具体的なゴールを定めます。
情報セキュリティ方針:組織全体の「情報セキュリティに対する姿勢」を明文化します。より安全で安心して利用できる情報セキュリティの指針を定めましょう。単に作成するだけでなく、全従業員がいつでも確認できるよう周知(配布や掲示)することが求められます。
情報セキュリティ目的 :「標的型メール訓練の達成率90%以上」「ウイルス感染ゼロ」など、測定可能な目標を立てます。認証取得が目的とならないように注意し、情報セキュリティの向上と、悪意ある第三者からの攻撃を防ぐことを重視しましょう。これを「いつまでに、誰が、何をやるか」という具体的な実施計画書に落とし込むことが対応の鍵です。
(2)情報セキュリティリスクアセスメントの実施
情報セキュリティリスクアセスメントは、企業が保有する情報資産に対するリスクを特定し、分析・評価を行うことです。
リスクアセスメントの実施は、情報資産の適切な取り扱いにおいて重要な役割を果たします。
もし重大なリスクを見逃したり、分析の結果として対応が不要と判断したりすると、適切な対処法を定められず、有効なマネジメントシステムの構築が困難になる可能性があります。
(3)PDCAサイクルの継続
ISO27001は「一度作れば終わり」ではありません。技術の進化や脅威の変化に合わせて、仕組みと実施の両面をアップデートし続ける必要があります。
構築当初は最適と思われたマネジメントシステムも、時間の経過とともに新しい技術の登場や社会的な価値観の変化により、変更が必要になることがあります。
したがって、常にPDCAサイクルを継続し、情報セキュリティの向上に努めることが求められます。
4.要求事項を満たさないと不適合になる?
要求事項が満たされていないまま審査を受けると、「重大な不適合」と診断される場合があります。特に、以下の場合は気をつけましょう。
- 構築したルールがISO27001の要求事項に沿っていない場合
- ルールが構築されていても運用ができていない(特に、内部監査やマネジメントレビュー)など、改善の余地がないと審査員が判断した場合
不適合には「重大な不適合」と「軽微な不適合」の2種類があり、「重大な不適合」と判断された場合は、実際に審査に“落ちる”ことがあります。
確実に要求事項を満たし、審査に臨みましょう。
5.まとめ
ISO27001の要求事項とは、守らなければいけない規定のことです。
要求事項は二つの要求に分けられます。
- 実施要求:実際の業務として継続的に「やる」ことが求められるもの
- 仕組み要求:組織として制度や体制の「整備」や「決定」が求められるもの
ISO27001の要求事項への対応で特に押さえておきたい点は、以下の部分にあります。
- 情報セキュリティ方針と目的の策定
- 情報セキュリティリスクアセスメントの実施
- PDCAサイクルの継続
構築や運用など、審査を受ける前にやるべきことがたくさんありますので、一度コンサルティング会社に相談してみるのもいいでしょう。
当社でもISO27001の取得サポートを行っております。お気軽にご相談ください。
← 記事の内容をまとめた動画はこちら!!
\ フォローしてね /
ISO・Pマーク(プライバシーマーク)の認証・更新も安心
認証率100% ✕ 運用の手間を180時間カット!
信頼の「認証パートナー」が無料相談を受付中!
一目でわかる
認証パートナーのサービス紹介資料
8,000社以上の支援実績に裏付けされた、
当社サービスの概要を紹介しております。
資料の内容
- ・当社の『サポート費用・内容』
- ・取得までの『スケジュール』
- ・コンサル会社を選ぶ際の『ポイント』
- ・認証パートナーと『他社との違い』
- ・お客様のお声
ISMS(ISO27001)認証パートナー
サービスのご案内
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
-
Pマーク
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。Pマークの認証ページへ -
ISO9001
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。ISO9001の認証ページへ -
ISMS・ISO27001
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。ISMS/ISO27001の認証ページへ -
ISO14001
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。ISO14001の認証ページへ -
ISO27017など各種対応規格
ISO27017やISO22000など各種規格もお得に 新規取得や運用・更新ができます。ご気軽にお見積りください。
ISO27017など各種対応規格ページへ -
複数規格の同時取得
ISOやプライバシーマークを同時に認証取得すると費用や工数を抑えることができます。安心してご相談ください
複数規格の同時取得ページへ
- © 2022 Three A Consulting Co., Ltd.