2023年11月24日
ISMS認証機関の賢い選び方|重要な3つのポイント
ISMSの認証機関(審査機関)は国内に60社ほど存在しているため、どこを選べばいいか迷う方が大半です。
ISMS認証機関選定のポイントは3つ。①審査費用が適切か②自社の要望に合わせた対応が可能か③対応のスピードです。
押さえるべき3つのポイントを理解してから、認証機関を選定しましょう。
2024年4月4日
ISMS(アイエスエムエス)とは、情報マネジメントシステム(Information Security Management System )の略称です。ISMSとは、組織が情報資産を適切に保護し、情報セキュリティを維持するための一連の手段やプロセスを指します。
1.ISMS(情報セキュリティマネジメントシステム)とは?
ISMS(アイエスエムエス)とは、Information Security Management Systemの頭文字をとった略称で、情報セキュリティマネジメントシステムのことを意味します。
つまり、ISMSとは、情報セキュリティを管理する仕組みのことです。
情報の安全対策を行い、情報漏えいに代表されるインシデント(事故)発生を低減させるための仕組みのことです。
ISMSが注目される背景として、ISMS認証を取得することで、自治体や大手企業との取引の機会を増やすことが可能になる点が挙げられます。これは、自治体や大手企業が、ISMSなどの認証を持つ、適切なセキュリティ管理を行っている企業との取引を望んでいるからです。
セキュリティ管理が当たり前とされている現在、ISMS認証を取得することで、自社のセキュリティ管理が適切であることを社内外に示すことができます。
また、ISMSを導入することで、適切なセキュリティ対策が可能となり、不正アクセスなどのサイバー攻撃のリスクを軽減できるといった利点があります。
さらに、社内でのセキュリティ意識を高めることで、従業員による情報の漏洩といった、企業内部から生じるセキュリティリスクも減らすことが可能となります。
2.ISMSとISO27001は同じ意味?
ISMSとISO27001はほぼ同義として扱われています。
ISO27001は、組織内の情報を保護し有効的に活用するための情報セキュリティマネジメントシステム(ISMS)についての国際規格です。
主にシステム開発やIT関連の情報通信業界の組織が特に多く取得している規格で、情報の秘密性、完全性、利用可能性を管理し、情報を効果的に活用するための組織のフレームワークを示しています。
「ISO/IEC27001:2013」という表記は、「2013年に改訂された国際標準化機構と国際電気標準会議による情報セキュリティに関する基準」を示しています。これはISO27001と基本的に同じ意味を持っています。
ISMS(ISO27001)といった表記の仕方を目にすることがありますが、ISMSは情報セキュリティマネジメントシステムの略で、「仕組み」を指します。一方、ISO27001はその「規格」を示すもので、厳密には異なる意味を持ちます。
しかし、「ISO27001」を「ISMS」と呼ぶことも多く、ほぼ同義として扱われています。
また、ISO/IEC27001というスラッシュ表記は、ISOとIECが共同で策定した規格を示しています。
JISQ27001は、ISO/IEC27001を日本企業が理解しやすいように日本語に翻訳したもので、内容自体はISO/IEC27001とほとんど同じです。
ISO:International Organization for Standardization:国際標準化機構
IEC:International Electrotechnical Commission:国際電気標準会議
ISO規格は時代の変化に伴い定期的に改訂が行われています。
2022年10月に、情報セキュリティマネジメントシステムの国際規格ISO27001が改訂され、「ISO/IEC27001:2022」が最新版として発表されました。
なお、今回の規格改訂の主な変更点は、付属書Aの管理策の見直しで、それまでの114項目から全93項目に削減されています。
ISMS(ISO27001)の規格改定について詳しくはこちらをご確認ください。
3.情報セキュリティの3要素CIAとは
ISMS(ISO27001)の目的は、組織内における情報の機密性・完全性・可用性、いわゆる情報セキュリティの3要素を確保することとされています。
3要素である機密性・完全性・可用性を簡単に説明します。
- 機密性(Confidentiality)・・・情報が漏れないようにすること
- 完全性(Integrity)・・・情報が改ざんされたりしないようにすること
- 可用性(Availability)・・・情報が使いたいときに使える状態にすること
英語の頭文字をとって、まとめてCIA(シーアイエー)と呼びます。
もう少し具体的に説明します。
(1)機密性
機密性とは、企業の中で特定の人だけが閲覧、アクセスできるように保護をしている状態を指します。
言い換えれば、権限のない人が情報にアクセスすることを防止できている状態です。
(2)完全性
完全性とは、データを最新かつ正しい状態で維持することを指します。
ドキュメントへの電子署名の仕組みだったり、Webサイトにおけるデータベース改ざんを防ぐ仕組み等は、完全性の確保へ繋がります。
(3)可用性
可用性とは、システムや情報をいつでも利用できる状態を指します。
安定して利用することができるシステムは可用性が高いと言えます。
ISMS(ISO27001)では、この情報の3要素を確保することが求められているのです。
機密性・完全性・可用性について詳しくはこちらをご確認ください。
4.ISMS(ISO27001)を取得するメリット・デメリット
ISMS(ISO27001)を取得することでどのようなメリットがあるのでしょうか?また、デメリットはあるのでしょうか。
■メリット
- 顧客や取引先から信頼を得やすい状態になる
審査機関という第三者から認証されることで、お客様や取引先から信頼を得やすくなりますし、取引を拡大できるケースもあります。 - 情報を取り扱う手順やルールを明確にできる
ISMSの取得・更新は情報セキュリティのルールの過不足を確認する機会になりますし、すでにあるルールの妥当性についても確認できます。 - 役割や責任権限が明確になる
取得・更新で今まで“なんとなく”振り分けていた役割や責任を改めて確認できる機会になります。
■デメリット
- 作業が増える
審査機関から評価を受けるためには、実施したと確認できる記録が必要になります。今まで口頭で確認していたことを書面に残す必要が出てくるなどがあります。 - 守るべきルール・手順が増える
ISMS(ISO27001)の構築で難しいのがこの部分です。
セキュリティを担保するために考えれば行うべき手順も、「社員の手間が増える…」「業務が窮屈になってしまう…」などといったリスクがあります。
日常業務が行いにくい体制になってしまっては本末転倒なので、状況に合ったルールや手順を判断していく必要があります。 - 審査費用が発生する
取得にも審査費用がかかりますが、維持するために毎年審査を受ける必要がありますので毎年費用が発生します。
こちらの記事でメリット・デメリットについてより詳しく解説しております。
5.ISMS(ISO27001)とPマークの違い
さて、プライバシーマーク(Pマーク)という認証をご存知でしょうか。個人情報の取り扱いに関する認証です。
プライバシーマークとISMS(ISO27001)は少し似ているので、
「ISMSとPマークの違いって何ですか?」
「当社はどっちを取得したらいいですか?」
とよく質問をいただきます。
同じ情報保護の認証に思えますが、比較すると、保護する対象やよく使われる業界グローバルか否かなどかなり違いがあります。
一覧で比較してみましょう。
情報保護の対象
ISMS(ISO27001)とPマーク(プライバシーマーク)は、それぞれ情報保護の対象が異なります。
プライバシーマークは個人情報の保護に特化しているのに対し、ISMS(ISO27001)は全ての情報資産を保護対象としています。
そのため、ISMS(ISO27001)は保護対象が広範であり、そのマネジメントシステムを構築するにはより多くの時間が必要となることが一般的です。
グレード
Pマーク(プライバシーマーク)は個人情報の保護に特化した日本独自の規格であり、日本国内でのみ認証されています。
一方、ISMS(ISO27001)は情報資産全体の保護を目指す国際標準規格であるため、グローバルな認証になります。
そのため、国際的なビジネスを行っている企業は、世界的な基準で情報セキュリティが認証されるISMS(ISO27001)の取得を選ぶことが多いです。
認証範囲
プライバシーマーク(Pマーク)の認証範囲は企業全体(全部署・全従業員)が対象となっています。
一方で、ISMS(ISO27001)は特定の事業・事業所・部門単位だけを対象として取得することが可能です。
例:「○○部だけで認証取得」「△△工場だけで認証取得」など
これにより、ISMS(ISO27001)は認証取得の範囲を柔軟に設定することができます。
ISMS(ISO27001)とプライバシーマーク(Pマーク)の違いについてさらに詳しく知りたい方はこちらの記事をご覧ください。
6.ISMS導入の手順とポイント
大まかに下記の流れとなります。
【導入手順】
- 認証範囲の確定
- 情報セキュリティの方針を策定
- 審査機関を選定
- 体制の確定
- 文書の作成
- リスクアセスメントの実施
- 従業員教育を実施
- 内部監査を実施
- マネジメントレビューの実施
- 審査
ISMS導入のポイントとしては、企業の実態に沿わせる形でマニュアルの構築を行うこと、余計な文書類は極力減らすことが挙げられます。
(1)認証取得の流れ
ISO27001は会社全体ではなく、各組織での取得が可能です。
まずは、認証取得をしたい組織(範囲)を確定し、認証範囲の業務と実態に合わせた情報セキュリティ方針(ルール)を策定します。
策定したルールに従って運用する過程で、審査機関を選定及び認証に必要な文書を作成します。
また組織の中で情報資産だと思われるものを特定し、リスク評価を実施、従業員への教育を通じISMSがどのようなモノか知る必要があります。
その後、内部監査でルールと実態の整合性を確認することによって、より規格要求事項に沿った運用が実現できます。
最後にマネジメントレビューを行い、運用成果及び改善をアウトプットし審査を受ける流れとなります。
審査を無事クリアできれば認証完了です。
ISMS取得の流れについては、こちらの記事で詳しく解説しております。
(2)認証取得にかかる費用
審査費用は50万〜100万円が相場です。
拠点数や従業員数によって変動しますが、一般的に維持・更新費用は数十万円ほどです。
また、審査機関によっても多少費用が異なります。
ISMS認証取得にかかる費用について、詳しくはこちらのコラムをご覧ください。
(3)審査
審査には新規認証時の審査、更新審査、維持審査の3種類があります。
内容については、ISO27001の要求事項と実態が整合しているか審査員が確認します。
実態と整合していない場合は不適合が発生し、運用について伸びしろがある場合は推奨事項といった形で記録が残されます。
不適合が発生した場合は、今後このような事案が発生しないよう是正対応が求められます。
審査について、詳しくはこちらの記事をご覧ください。
(4)有効期限と更新
有効期限については、登録判定の翌日を初回登録日となります。
そこから、3年間が有効期限となり、当該期限の3~4ヶ月前に更新審査を受けることにより、認証期限が3年間へ更新されます。
7.ISO27001を取得した後の運用は
無事にISMS(ISO27001)を認証取得できたら、達成感と共にひと息つきたくなりますが、ISMSは「取得したら終わり」ではありません。
定期運用で実施すべきことが決められており、要求事項に沿って運用し、次回の審査に備えなければなりません。
定期運用でやることはこちら
8.ISO27001取得企業の調べ方
「この会社ってISMS(ISO27001)取得しているのかな?調べたいな」という場合の検索方法をご紹介します。
ISMS(ISO27001)を取得した会社は名刺や会社パンフレットにISMS認証取得のロゴマークを入れているケースが多いので、名刺やパンフレットがお手元にある場合は一度見てみましょう。
そして次にチェックするべきは、その企業のサイトやホームページです。
取得している場合は、ホームページの
- トップページ
- 会社概要
- セキュリティ方針、セキュリティポリシー
に取得の旨を掲載されている企業が多いです。
また、情報マネジメントシステム認定センター(ISMS-AC)のwebサイトでISMS(ISO27001)取得企業の検索ができます。
見てもらうとわかる通り、登録している企業数と情報公開している企業数に差異があります。
つまり、ここに掲載されていないからと言って必ずISMS(ISO27001)を取得していない、というわけではありません。
参考程度に見てみてください。
9.ISMSとGDPRの関係について
個人データの保護にまつわる規則として、EUで施行されたGDPRというものがあります。
GDPRとは「Gneral Data Pritection Regulation」の略で、日本語に訳すと「一般データ保護規則」となります。EU保護指令に代わり、2018年5月25日から施行されています。
GDPRは、組織が個人データのプライバシーを確保するための規則です。
対して、ISO27001は組織における情報セキュリティに焦点を絞り、情報を保護する認証規格となります。
GDPR、ISO27001は異なるものですが、類似のルールもあり、欧州の企業を中心に両方に準拠していると掲げる傾向が増えてきています。
日本企業においてGDPRへの対策が必要となるのは、以下3点です。
- EU加盟国に営業所等を持つ企業
- EU加盟国へtoC向けの商品やサービスを提供している企業
- EU加盟国から個人データの処理について委託を受けている企業
※上記⑴~⑶に該当する企業はGDPRを取り組み、
⑴〜⑶に該当しない企業は、基本的には対応不要です。
列挙している通り、該当する企業はEU区域内で事業活動している企業です。
判断が難しい部分もありますので、一度当社にお問合せください。
状況をお伺いし、無料相談を受け付けます。
まとめ
ISMS(ISO27001)とはどういったものか紹介いたしましたがご理解いただけましたでしょうか。
ISMSとは「組織の情報を守るためのマネジメントシステム」のことです。
ISO27001とは「組織内の情報を守り有効活用するための情報セキュリティマネジメントシステム(ISMS)に関するISOの規格」です。
初めてISMS(ISO27001)について調べる方は分からないことがたくさんあると思います。取得や運用についてご不明点やご相談がございましたらお気軽にお問い合わせください。
ISO・Pマーク認証更新でお悩みの方へ
認証パートナーは、8000社を超える企業様に認証率100%で支援してきた実績と経験豊富なコンサルタントの知見を活かし、お客様の目標達成を全力でサポートいたします。
アドバイスや取り次ぎだけでなく、書類作成や監督に向けての準備、年々変化するルールへの対応まで、お客様のパートナーとして共に歩んでまいります。
認証取得したいけれど、何をすれば良いか分からない方も、まずはお気軽にご相談ください。
← 記事の内容をまとめた動画はこちら!!
\ フォローしてね /
ISO・Pマーク(プライバシーマーク)に関することなら
何でもお気軽にご相談ください
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!
お問合せは
こちらから全国どこでもオンラインで対応!
気軽にご相談ください!
相談予約は
こちらから
0120-068-268
お電話受付:平日9:30〜17:00
お電話受付:平日9:30〜17:00
認証パートナーのサービスご説明資料
8,000社以上の支援実績に裏付けされた、
弊社サービスの概要を紹介しております。
資料の内容
- ・当社のサポート内容
- ・規格の概要
- ・取得までに必要な審査費用
ISMS(ISO27001)認証パートナー
サービスのご案内
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
-
Pマーク
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。Pマークの認証ページへ -
ISO9001
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。ISO9001の認証ページへ -
ISMS・ISO27001
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。ISMS/ISO27001の認証ページへ -
ISO14001
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。ISO14001の認証ページへ -
ISO27017など各種対応規格
ISO27017やISO22000など各種規格もお得に 新規取得や運用・更新ができます。ご気軽にお見積りください。
ISO27017など各種対応規格ページへ -
複数規格の同時取得
ISOやプライバシーマークを同時に認証取得すると費用や工数を抑えることができます。安心してご相談ください
複数規格の同時取得ページへ