１．ISMS（ISO27001）とは

ISMSは「情報セキュリティマネジメントシステム（Information Security Management System）」の略称であり、情報セキュリティを管理するための仕組みです。

この規格は、特にシステム開発やIT関連の情報通信業界の組織で多く取得されており、情報の機密性、完全性、可用性を管理し、情報を効果的に活用するための枠組みを示しています。

尚、ISMS（ISO27001）を取得している組織は、規格要求事項（JIS Q 27001:2023）の各管理策に対して、技術対策を定め、リスクアセスメントを実施して必要なセキュリティレベルを決め、計画、運用、改善をすることでシステム運用を行っている組織となります。

ISMS（ISO27001）については、こちらの記事で詳しく説明しております。

あわせて読みたい記事

ISMS（ISO27001)とは？規格の概要やメリットを簡単に解説

１．ISMS(情報セキュリティマネジメントシステム)とは？ ISMS（アイエスエムエス）とは、Information Security Management Systemの頭文字をとった略称で、情報セ…

２．情報セキュリティの3要素

ISMS（ISO27001）では、機密性、完全性、可用性という、情報セキュリティの3要素を維持するための体制を構築することが求められています。これらの要素は、重要な情報の改ざん、消失、破損を防ぎ、安全に情報を取り扱うために必要です。

機密性、完全性、可用性の3つの要素は、英語での頭文字を取って「CIA」と呼ばれることが一般的です。

機密性（Confidentiality）

機密性とは、情報が許可された人だけにアクセスされることを保証することです。

機密性を確保するためには、アクセス制御や暗号化などの技術を用いて、情報が不正にアクセスされないようにします。

完全性（Integrity）

完全性とは、情報が正確であり、改ざんされていないことを保証することです。

情報が不正に変更されたり、破損したりしないようにするための対策が必要です。

可用性（Availability）

可用性とは、必要なときに情報にアクセスできることを保証することです。

システムのダウンタイムを最小限に抑え、情報が常に利用可能である状態を維持するための対策が求められます。

これらの3要素は、情報セキュリティの基本的な柱であり、ISMSの運用においてバランスよく管理されるべき重要な要素です。

情報セキュリティの3要素については、こちらの記事で詳しく説明しております。

あわせて読みたい記事

【入門】機密性・完全性・可用性を徹底解説！情報セキュリティの3要素CIAとは

１．情報セキュリティの3要素「機密性」「完全性」「可用性」とは ISMS（ISO27001）では機密性、完全性、可用性と呼ばれる3つの要素を保持できる体制構築を求められています。重要な情報の改ざんや滅…

３．そもそも情報セキュリティって何？

情報セキュリティという言葉はよく使われますが、「セキュリティ」を日本語に訳すと「安全」という意味になります。つまり、情報セキュリティとは、情報を安全に保つことを意味します。

情報セキュリティが保たれている状態には、個人と企業の2つの観点があります。

【個人の場合】

• 個人のスマートフォンが不正アクセスされないようにする。
• 個人のメールアドレスに身に覚えのないメールが届かないようにブロックする。
• サイトなどのパスワードの強度を高め、定期的に更新する。

【企業の場合】

• クライアント情報を不正アクセスから守る。
• 企業の機密情報を不正アクセスから守る。
• 地震、雷、台風、火災などの自然災害に対する対策を講じる。

情報セキュリティとは、クライアントや従業員が、いつでも安全に情報を使用できる状態のことを指します。

４．ISMS 認証取得とは？国際規格 (ISO/IEC 27001) ってなに？

ISMSを構築し、審査機関の審査に合格すると「ISMS認証」を取得することができます。この認証は、ISMSが適切に構築され、問題なく運用されていることを証明するものであり、企業にとって多くのメリットがあります。

しかし、自社で定めたルールに基づいてISMSを作成するだけでは、ISMS認証を取得することはできません。国際規格に準拠したISMSを構築し、審査に合格する必要があります。

その国際規格が「ISO/IEC 27001」です。この規格では、情報セキュリティの3つの要素（機密性、完全性、可用性）が管理され、利害関係者に信頼を与えるための枠組みが示されています。

５．ISMS取得のメリット・デメリット

ISMSを取得することには、メリットとデメリットがそれぞれ存在します。

ISMSの取得準備を始める前に、これらの点を理解し、取り組むべきかどうかを慎重に判断することをお勧めします。

【メリット】

・情報セキュリティの向上 

ISMSを構築し、審査を通過してISMS認証を取得することで、企業の情報セキュリティレベルを高めることができます。

これにより、情報漏洩などの事故の発生リスクを低減し、万が一事故が発生した場合でもその影響を最小限に抑えることが可能です。

情報セキュリティの事故が原因で業務が停止し、倒産に至った企業も少なくありません。情報セキュリティレベルを向上させることは、企業の存続を守ることにつながります。

・自治体や大手企業からの受注率向上 

国際規格である「ISO/IEC 27001」に基づくISMS認証を取得することで、自社のセキュリティ管理体制が国際基準に準拠していることを外部に示すことができます。

これにより、顧客や取引先に対して、セキュリティ強化に積極的に取り組んでいることをアピールできます。

さらに、国や自治体、大手企業などでは、取引先の選定基準としてISMS認証取得が条件となっている場合や、加点要素となる場合もあります。ISMS認証を取得することで、自治体や大手企業からの案件受注率を高めることが期待できます。

【デメリット】

・ISMS認証取得に伴う運用負担 

ISMS認証を取得するためには、さまざまな準備が必要です。

例えば、情報セキュリティの規程を策定したり、社内で実施した施策を文書化したりする作業が求められます。特に、作成するISMS文書の数は50〜60に及ぶことがあり、その管理には大きな労力が必要です。

また、情報セキュリティに関するルールが増えたり、セキュリティ教育を受講する必要があったりするため、社員に一定の負担がかかることもあります。

・審査にかかる費用 

ISMS認証の取得および維持には審査が必要です。初回の認証取得審査や、1年ごとの継続審査、3年ごとの再認証審査などがあり、これらの審査を受けるためには審査費用が発生します。

この費用は、審査機関や会社の拠点数、従業員数などによって異なりますが、最低でも数十万から数百万円が相場とされています。継続的に発生する金銭的なコストを考慮し、ISMS認証を取得するかどうかを慎重に判断する必要があります。

６．ISMS認証を取得するためのステップと期間

ISMS取得のプロセスは、PDCAサイクル（Plan-Do-Check-Act）の考え方に基づいて進行します。

ISMS（ISO 27001）を取得するためには、大まかに以下の4つのステップを踏む必要があります。

キックオフから取得完了までの期間は、早くて6か月、長くて1年ほどかかります。

1. 規格要求事項（JIS Q 27001:2023）に基づき、組織のマネジメントシステムを確立する
2. 情報セキュリティマネジメントシステム（ISMS）の運用
3. 審査機関による審査を受ける
4. 認証取得完了、次年度の運用につなげる

ISMSの取得作業を開始する際には、まず認証完了を目指す時期を設定し、その時期から逆算してスケジュールを立てましょう。

ISMS取得の流れについては、こちらの記事で詳しく説明しております。

あわせて読みたい記事

ISMS取得の流れガイド｜審査の内容やPマークとの違いも解説

１．ISMSとは [images_50][/images_50] ISMS（ISO27001）とは、「情報セキュリティマネジメントシステム」を指します。 簡単にまとめると、企業・組織として情報を管理し…

７．ISMS 認証の審査と取得条件

ISMS認証を取得するための審査は、一次審査と二次審査に分かれており、それぞれ評価されるポイントが異なります。

【一次審査】

一次審査では、二次審査に備えて、ISMSの関連文書（マニュアル等の規程類）が適切に整備されているかが確認されます。

具体的には以下の点が見られます。

• 情報セキュリティの方針が策定されているか
• 社内外の課題が明確にされているか
• 情報セキュリティに関するリスクが特定されているか

など

【二次審査】

二次審査では、ISMSが国際規格『ISO/IEC 27001』に適合しているか、また組織内で効果的に機能しているか（情報セキュリティレベルの向上に寄与しているか）が評価されます。

さらに、ISMS認証を取得するためには、以下の条件を満たす必要があります。

• 『ISO/IEC 27001』の要求事項に基づいてISMSが構築されている
• 組織で定めたISMSのルールが社内で遵守されている
• （審査で不適合が見つかった場合）その対応が完了している

８．ISMS（ISO27001）担当者は何をするの？

ISMS（ISO27001）の担当者が必ず行わなければならないことを3つにまとめました。

（１）社内外における情報セキュリティ対策の実施

社内での情報資産（個人情報を含む）の取り扱いや、社外との情報共有時のセキュリティ対策を講じる必要があります。

各システムにおけるアクセス権の管理や監視などの対策を策定し、マニュアル（手順書）を作成して、従業員がいつでも閲覧できるようにしなければなりません。

（２）従業員への情報セキュリティ教育の実施

従業員および派遣社員、アルバイト、パート、個人事業主に対して、自社の情報セキュリティ対策についての教育を年に1回以上実施しなければなりません。

また、情報セキュリティ事故に関する教育や注意喚起、周知も行う必要があります。

（３）トップマネジメントによるマネジメントシステムの推進

トップマネジメントは、情報セキュリティに関する方針や目標（目的）を策定し、従業員に周知しなければなりません。

※重要なポイントを絞って記載していますので、上記以外にも実施すべきことがあります。

まとめ

ISMS（ISO27001）とは、企業の重要な情報が外部や内部に流出しないように管理するための仕組みです。

情報セキュリティの3要素である、機密性、完全性、可用性をバランスよく維持し、組織に対する攻撃から守るために、情報セキュリティマネジメントシステムを確立し、効率的に運用することが求められます。

ISMS（ISO27001）を運用する際には、高度なスキルを持つ人材やセキュリティ技術に依存せず、

1. 社内外における情報セキュリティ対策の実施
2. 従業員への情報セキュリティ教育の実施
3. トップマネジメントによるマネジメントシステムの推進を仕組み化し、管理することが重要です。

「頭では理解できても、実際の業務に置き換えるとまだわからない…」というケースも多いかと思います。

お困りの際は、ぜひコンサルタントにご相談ください。

ISO・Pマーク認証更新でお悩みの方へ

認証パートナーは、8000社を超える企業様に認証率100%で支援してきた実績と経験豊富なコンサルタントの知見を活かし、お客様の目標達成を全力でサポートいたします。
アドバイスや取り次ぎだけでなく、書類作成や監督に向けての準備、年々変化するルールへの対応まで、お客様のパートナーとして共に歩んでまいります。
認証取得したいけれど、何をすれば良いか分からない方も、まずはお気軽にご相談ください。

• 無料相談はこちら▶️
• 見積もり依頼はこちら▶️