2021年12月28日
ISMS(ISO27001)とは、組織の大切な情報等が流出しないように管理する仕組みのことです。
ISMS(ISO27001)を仕組み化し、人材や技術に頼らず、①情報セキュリティ対策の実施、②情報セキュリティ教育の実施、③トップによるマネジメントシステムの推進管理が重要です。
1.ISMS(ISO27001)とは
ISMS(ISO27001)とは、3つの要素である、①機密性、②完全性、③可用性(※1)をバランスよく維持し、組織に降りかかる攻撃から守るために、情報セキュリティマネジメントシステムを確立し、効率よく運用していくための規格です。
ISMS(ISO27001)を取得するには、大まかにまとめると以下4つのステップが必要になります。
- (1)規格要求事項(JISQ27001:2014 ※2)を基に、組織のマネジメントシステムを確立する
- (2)(1)を基に運用を行う
- (3)審査機関による審査を受ける
- (4)審査機関から認証を受ける
尚、ISMS(ISO27001)を取得している組織は、規格要求事項(JISQ27001:2014)の各管理策に対して、技術対策を定め、リスクアセスメントを実施して必要なセキュリティレベルを決め、計画、運用、改善をすることでシステム運用を行っている組織となります。
※1
ISMS(ISO27001)は、3つの要素について定義しています
情報の機密性、完全性及び可用性の維持
各要素を一言でいうと
①機密性・・・・漏れてはいけないもの
②完全性・・・・壊れてはいけないもの
③可用性・・・・すぐに利用できるもの となります
※2
JISQ27001:2014(ISO/IEC27001)とは、
組織がISMS(ISO27001)を確立し、実施し、維持し、
継続的に改善するためにどうしたらいいかを提供することを目的としています
ISMS(ISO27001)の確立及び実施について、組織として何をどう行うべきかを記載しています
2.そもそも情報セキュリティって何?
情報セキュリティとよく言われますが、「セキュリティ」を英語訳してみると「安全」という意味と定義されています。
つまり直訳すると、情報セキュリティとは、情報を安全にする、という意味になります。
情報セキュリティが保たれている状態とは、考え方としては、個人と企業の2つの考え方があります。
個人
- ①個人スマホが不正アクセスされないようにしている
- ②個人アドレスに身に覚えのないメールがこないようにブロックしている
- ③サイトなどのパスワード強度や更新を行っている
企業
- ①クライアント情報を不正アクセスから守る
- ②企業の機密情報を不正アクセスから守る
- ③地震、雷、台風、火災などの自然災害への対策をする
情報セキュリティとは、クライアントや従業員が、いつでも安全に情報を使用できる状態のことをいいます。
3.ISMS(ISO27001)担当者は何をするの?
ISMS(ISO27001)の担当者が、絶対やらなければならないことを3つにまとめました。
(1)社内外における情報セキュリティ対策の実施 社内での情報資産(個人情報含む)の取り扱い、社外との情報共有時のセキュリティ対策をする。
各システムにおけるアクセス権の管理、監視などの対策を策定し、マニュアル(手順書)を作成し、従業員がいつでも閲覧できるようにしなければならない。
(2)従業員への情報セキュリティ教育の実施
従業員及び派遣、アルバイト、パート、個人事業主への自社情報セキュリティ対策についての教育を年に1回以上実施しなければならない。
また、情報セキュリティ事故への教育や注意喚起、周知も実施しないとならない。
(3)トップマネジメントによるマネジメントシステムの推進
トップマネジメントが情報セキュリティに関しての方針、目標(目的)を策定し、従業員へ周知しなければならない。
※重要なポイントを絞っていますので、上記以外にも実施すべきことはあります
まとめ
ISMS(ISO27001)とは、企業にとって大切な情報等が外部や内部に流出しないように管理する仕組みのことです。
3つの要素である①機密性、②完全性、③可用性をバランスよく維持し、組織に降りかかる攻撃から守るために、情報セキュリティマネジメントシステムを確立し、効率よく運用していく必要があります。
ISMS(ISO27001)を運用する上で、高いスキルを持った人材やセキュリティ技術に頼らず、①社内外における情報セキュリティ対策の実施、②従業員への情報セキュリティ教育の実施、③トップマネジメントによるマネジメントシステムの推進を仕組み化し、管理していくことが重要です。
「頭では理解できても、実際の業務に置き換えるとまだわからない…」というケースも多いと思います。
お困りの際は、是非コンサルタントにご相談ください。
ISO・Pマークについてのお悩みはありませんか?
- SNSでシェア
- Tweet
ISO・Pマーク(プライバシーマーク)に関することなら
何でもお気軽にご相談ください
0120-068-268
お電話受付:平日9:30〜17:00
お電話受付:平日9:30〜17:00
-
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!
お問合せは
こちらから -
全国どこでもオンラインで対応!
気軽にご相談ください!
相談予約は
こちらから
認証パートナーのサービスご説明資料
新規認証や運用・更新にあたって
当社が請け負うことをわかりやすくまとめました。
ぜひご検討の参考にしてください。
資料の内容
- ・当社のサポート内容
- ・規格の概要
- ・取得までに必要な審査費用
ISMS(ISO27001)認証パートナー
サービスのご案内
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
-
Pマーク
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。Pマークの認証ページへ -
ISO9001
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。ISO9001の認証ページへ -
ISO14001
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。ISO14001の認証ページへ -
ISMS・ISO27001
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。ISMS/ISO27001の認証ページへ