2024年11月14日
ISO27001取得の流れは?費用や期間、メリットも解説
ISO27001を認証取得するには、情報資産の洗い出し、リスク評価と対策の実施、内部監査、マネジメントレビューなど、PDCAサイクルに基づく取り組みを行った上で一次審査と二次審査を受けることが必要です。
ISO27001は国際的に認められた情報セキュリティマネジメントシステムの規格です。
認証取得することで、情報セキュリティ体制の確立、顧客からの信頼性向上、ビジネス機会の拡大といったメリットが期待できます。
2023年7月7日
セキュリティチェックシートは、取引先から求められる「情報セキュリティ」要件に対して、自社が現状十分なセキュリティ対策を実施しているか確認を求められるものです。
取引要件も満たさないと契約継続が解消される可能性もあるため、適宜対応が求められる重要なチェックシートです。
セキュリティチェックシートとは取引先がセキュリティ上、必要な対策を講じているか、ルールや仕組みを定めているかなどを確認するためのものです。
つまり自社の情報セキュリティの対策について、状況を確認するものです。
各企業によって評価基準が違いますが、主な項目としては以下が一般的です。
・情報セキュリティに係る第三者認証の有無
例えば、情報セキュリティマネジメントシステムにおいて認証機関より審査・評価の上、認証を取得している状況であるか、ないか。
・運用体制と規程類の整備状況
・環境的セキュリティ
例えば、入退室管理や情報保管媒体の保管・利用は規程に従って実施しているかなど。
・技術的セキュリティ
例えば、業務上必要な者だけが機密情報にアクセスできるように権限を設定しているか、従業員が業務で使用するPCにウイルス対策ソフトを導入しているかなど。
・人的セキュリティ
例えば、就業規則等において機密情報の取扱いに関する規程等に違反した場合の懲戒 処分が定められているか、雇用の終了または変更となった場合に、情報資産、アクセス権等の返却・削除・ 変更の手続きについて明確になっているかなど。
・問い合わせ、相談対応 について
・委託関連
例えば、外部へ業務委託する場合、委託先の情報セキュリティ対策の実施状況を確認しているかどうか、委託先の契約する際の契約書類にて情報セキュリティ管理関連の内容が盛り込まれているかどうかなど。
セキュリティチェックシートを求める会社は取引要件として、自分たちの重要資産を渡すことがあるかもしれない取引先に対して、必要な安全管理対策を講じているのかを確認する必要があります。
また、社内体制など組織的な問題が無いかどうかについても確認した上で仕事の依頼をするため、回答の依頼と状況確認を実施しています。
回答した内容次第で、場合によっては取引の契約解除の可能性もあるので、注意が必要です。
セキュリティチェックシートを記載する人は一般的にその会社の「情報セキュリティ責任者」が適任です。
いわゆる「システム最高責任者」と言い換えることが出来る方です。
セキュリティチェックシートでは、情報セキュリティに特化された項目の回答が多岐に渡ります。
チェックシートは自社で明記する必要がありますが、社内の情報システムを全般的に管理しているシステムの責任者の対応が必須です。
しかし、チェックシートの回答者がシステムの責任者であったとしても、情報システムだけでなく社内の体制管理(運用体制と規程類の整備状況)や問い合わせ、相談対応を現状自社でどんな対応をしているのか実体を把握して回答することが必要です。
社内の各責任者にフローなどを確認することが求められるため、調査には時間がかかります。
それぞれの部門の責任者に協力を仰ぎ、社内の体制管理や問い合わせなどの対応はそれぞれどの部門の責任者が実施しているのか等、対応方法を確認した上で適切な回答を行うことが大事です。
セキュリティチェックシートの項目は取引先により様々ですが、項目は数多く設定されていることが一般的です。
チェック項目は物理的なものから技術的なものまで含まれています。
以下のような「情報セキュリティチェックシート」が実際にあります。
コンプライアンス | ||||
---|---|---|---|---|
3 | 組織体制 | 情報セキュリティに関する組織体制の状況 | 情報セキュリティに関する責任者の有無 | 有り |
4 | 情報セキュリティに関する組織体制の有無 | 有り 情報セキュリティに関する体制は規定されており、社内に周知されています | ||
5 | 情報セキュリティに関する取組み | 情報セキュリティに関する基本方針を策定し、その方針の公表有無 | 有り セキュリティポリシーとして公開されています | |
6 | 従業員の教育 | 情報セキュリティに関する従業員の役割及び責任について、全従業員を対象に教育訓練実施の有無 | 有り 定期的に教育訓練を実施しています | |
7 | ファシリティ | 入退出管理 | 個人が特定可能な認証により社員を識別し、社員以外の入退出管理有無 | 有り オフィスへの入館はセキュリティーカードを 使用し記録しています |
8 | 個人情報 | 個人情報の取り扱い | 個人情報の取扱いに関する規程等の有無と、 「有り」 の場合は記載箇所 | お客様の個人情報に関する取り扱いについて、プライバシーポリシーに基づいて管理しています |
9 | 守秘義務 | 守秘義務契約 | 守秘義務に係る契約又は条項の有無 | 就業規則などに規定・ 制定済みです |
10 | 守秘義務違反があった場合のペナルティ条項の有無 | 就業規則などに規定・ 制定済みです | ||
11 | 準拠法 | 採用している準拠法 | 約款に記載しています。 |
書き方・注意点としてのポイントは以下です。
・必要な部門の責任者にヒアリングを行い現場を見て回答する
・自社で管理している規程や手順書など現状の最新版を把握する
・PCの設定・パスワード・スクリーンセーバー設定などルールと実態が合致しているか確認する
・社内バックアップ(NAS・HDDなど)の実施が出来ているか確認する
・適切なクラウドサービスを選択した上で利用規約・約款など保持できているか確認する
・問い合わせ、相談窓口の設置が有効的なものかどうか確認する
・取引先から証拠(エビデンス)を求められる場合もあるため、何らかの形で証跡を残しておく
・「情報セキュリティチェックシート」の備考欄に現物で確認した証跡を残す
自社のチェックを行う際に項目に対して実施が出来ているのか、出来ていないのかを細かく調べ現状を把握した上で明記することによって、自社の情報セキュリティの安全性を再度見直す機会ともなります。
セキュリティチェックシート自体煩わしいものと感じやすいですが、有効的に使う資料として活用することも可能かもしれません。
コロナ禍によるテレワークの普及や電子化の流れからクラウドサービスを利用する企業が増えています。
そういった労働環境の変化によりセキュリティチェックシートの内容も変化し、複雑になってきています。
一般的にセキュリティチェックシートの総設問数は50〜150ほどあると言われていますが、会社によって様々です。
セキュリティチェックシートを依頼する側も、社会的状況に応じた設問などの定期的な見直しを行い、取引先への調査依頼と回収など時間を多く取られています。
もちろん回答する事業者も項目の確認と正しい情報を回答するだけで、24時間以上かかるとも言われており、システムの責任者にとってはセキュリティチェックシートの設問に対応することだけで大きな負担になります。
さらに、一度回答して完了というわけではなく、毎年その時代に合わせたセキュリティチェックシートの回答を会社ごとに行わなくてはいけません。
上記の負担を解消するには、可能なら常にシステムの責任者が会社の情報セキュリティの管理の把握を行う体制を確立することです。また、社内の業務フローに変更が発生した場合に、責任者同士で連携を取り、情報共有できるようにしておくことが重要です。
情報セキュリティチェックシートに回答するために社内の情報システムを把握するのではなく、常日頃から自社のセキュリティチェックや点検を実施しておくとよいでしょう。
ここまで読んでいただき、セキュリティチェックシートがどれだけ大変で、
煩わしいものか、理解して頂けたのではないでしょうか。
では、これを簡単にすることができないのか。答えは「できる」です。
セキュリティチェックシートの項目はISMSの要求事項を基に作られているケースが多いため、ISMSを認証することでセキュリティチェックシートの要件を満たすことができます。
つまり、セキュリティチェックシートを省略できるケースが多いということです。
そのため、「セキュリティチェックシートが届いたらISMS認証をすべき」と言えます。
ISMS認証の概要についてはこちらの記事で詳しく説明しております。
ISMS認証取得企業はここ数年で爆発的に増えています。
上記の通り、セキュリティチェックシートの回答を簡単にするため、という理由はもちろんありますが、
そのほかにも、昨今の情報セキュリティに対するニーズや顧客要求の変化、社会情勢の変化やセキュリティリスクの多様化等があります。
ISMS認証を取得することで、こういった課題解決の選択肢の一つと考えているケースが多いです。
すでにISMS認証を検討されている方は、こちらのコラムをご参考ください。取得方法について解説しております。
セキュリティチェックシートは非常に項目が多く、そのチェック内容も多岐にわたります。
1個ずつチェックをしていくことも可能ですが、ISMS認証取得をすることで、これを省略することができます。
ISMS認証取得はチェックシートを省略できるうえに信頼度も上げられる、非常に有効な手段だと思います。
ぜひ当社とISMS認証取得を目指してみませんか。認証や運用のサポートも実施させていただきます。
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!
お問合せは
こちらから
全国どこでもオンラインで対応!
気軽にご相談ください!
相談予約は
こちらから
8,000社以上の支援実績に裏付けされた、
弊社サービスの概要を紹介しております。
資料の内容
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。
ISO27017やISO22000など各種規格もお得に 新規取得や運用・更新ができます。ご気軽にお見積りください。
ISOやプライバシーマークを同時に認証取得すると費用や工数を抑えることができます。安心してご相談ください