ISMS適合性評価制度とは？概要をわかりやすく解説

１．ISMS適合性評価制度とは

ISMS適合性評価制度とは、組織が情報を適切に管理し、その機密性、完全性、可用性を保証するための体制が整っていることを証明する制度です。
この制度に適合すると、ISMS認証を取得することが可能となります。

この制度は、2002年から一般財団法人日本情報経済社会推進協会（JIPDEC）の情報マネジメントシステム認定センターによって運営されています。

参考URL：情報マネジメントシステム認定センター
https://isms.jp/isms/about.html

 

２．ISMS適合性評価制度の仕組み

ISMS適合性評価制度の具体的な流れは、まず企業が自社の自己評価を行い、その結果を基にISMSの構築・運用を行います。
その後、第三者機関が企業のISMSを評価し、適合性が認められれば認証が交付されます。
認証を受けた企業は、定期的な監査を受けることでISMSの維持・改善を図ります。

つまり、組織が構築したISMS（ISO27001）について、JISQ27001（ISO/IEC 27001）を審査する「認証機関」が問題なく審査を行っているかを「認定機関」が評価している仕組みです。

「認証機関」から派遣される審査員の研修を行う「審査員研修機関」は「要員認証機関」から一定の基準をクリアした審査員が派遣されます。

ISMS適合性評価制度で、安心してISMS（ISO27001）の認証を組織が受けられるようになります。

 

以下の図のように「認定機関」が「認証機関」「要員研修機関」を審査し一定の基準であることを承認しています。

■ ISMSとは
ISMSとは、「Information Security Management System」の頭文字から取っており、情報セキュリティマネジメントの仕組みを意味します。
この仕組みの基準として用いるのが、 国際規格ISO/IEC 27001／日本工業規格 JIS Q 27001「情報セキュリティマネジメントシステム－要求事項」です。

■ ISO/IEC27001
ISO/IEC 27001は、国際標準化機構(ISO)と国際電気標準会議(IEC)が作成した「国際規格」を指します。
さらにこの規格を日本語に翻訳したものが「JIS Q 27001」と言われます。

 

３．ISMS適合性評価制度認証のメリット

一般的に以下のようなメリットがあると言われています。

⑴顧客やユーザーからの信頼の向上、入札への参加、顧客取引の条件緩和

ISMS（ISO27001）を取得すると、情報セキュリティに関する仕組みがある会社と対外的にアピールすることができ、名刺やホームページにロゴマークを掲載することもできます。
近年ではISMS（ISO27001）の認証数も大幅に増え、他社との差別化の要素でしたが、認証していて当たり前の時代に移り変わろうとしています。

また行政機関の入札条件や大手企業との取引条件としてISMS（ISO27001）取得が必須条件となっている場合も増えてきています。

 

⑵情報セキュリティリスクの低減

ISMS（ISO27001）では、組織内の業務や取り扱っている情報資産に対して定期的にリスクアセスメントを実施することを求めています。

リスクアセスメントを行うことで、社内の情報セキュリティリスクを把握することができリスクへの対策（リスク対応計画）を行いリスク低下、回避、移転等の対応ができます。

 

⑶従業員の意識向上

情報セキュリティのレベルを維持するためには、従業者の認識が必須になります。
ISMS（ISO27001）では定期的に従業者への認識（教育）が必要になってきますので、仕組みで従業員の教育を行うことができます。

また、従業者への教育を通して社内のセキュリティ体制や情報漏洩事故（インシデント）発生時の対応も従業者へ認識させることができます。
「ISO/IEC 27001」と「JIS Q 27001」は、書かれている言語は違いますが、同じ内容になります。

４．ISMS適合性評価制度を認証する方法

ISMS認証を取得する流れ、取得までにかかる期間、費用をご紹介します。

⑴認証までの流れ

ISMS（ISO27001）を認証するために、まずはJISQ27001（ISO/IEC 27001）にて文書化要求がある文書の構築することが求められます。

その次に、記録化要求や実施要求がある内容を実施していき認証機関の審査を受けることが必要になります。

文書化、記録化要求のあるものは以下のような項目です。記載した内容以外でも、組織によっては作成し文書化することでISMS（ISO27001）の運用を簡素化していくこともできます。

・ISMS適用範囲
・情報セキュリティ方針
・情報セキュリティリスクアセスメント
・適用宣言書情報セキュリティリスク対応
・情報セキュリティ目的
・力量、認識
・情報セキュリティリスクアセスメントの結果
・情報セキュリティリスク対応の結果
・監視及び測定の結果の証拠
・内部監査のプログラム・結果の証拠
・マネジメントレビューの結果の証拠
・不適合の性質及び取った処置、是正処置の結果
・その他管理策（付属書A）

 

⑵認証までどれくらいかかる

自社でISMS（ISO27001）を構築、運用していくと認証まで約1年半かかると言われています。

ISMS（ISO27001）に精通していない人が構築、運用をしていくので仕方がありません。
膨大な書類の作成、運用の実施をしていくことになります。

ISMS取得の流れや期間について、詳しくはこちらの記事で解説しております。

⑶認証にかかる費用

日本には約50以上の認証機関があると言われています。
認証にかかる費用は審査機関により異なります。

また、営業部だけでISMS（ISO27001）を認証するという部分認証も可能です。

取得にかかる費用については、こちらの記事で詳しく解説しております。よろしければご覧ください。

５．ISMS適合性評価制度認証の３つの注意事項

ISMS適合性評価制度を認証するためには注意事項があります。ISMS認証取得を検討する場合は、事前に把握しておきましょう。

⑴審査費用は相見積もりするべき

前項でも少し記載しましたが日本には約50以上の認証機関があり、費用も一律ではありません。

また審査費用はISMS（ISO27001）を適用する範囲、拠点、人数で変わってきますので、自社の業務に特異な審査機関や費用が安い審査機関などを選び、自社に合う審査機関を選ぶためにも相見積もりすることが非常に重要になります。

⑵コンサルタントを使うべき

ここまで、作成しなければならない文書、記録や自社に合った審査機関選びについてお話ししましたが、コンサルタントに依頼することで作成する文書を最小限に抑えることができ、各組織に合った審査機関の相見積もりを取得します。
コンサルタントに依頼することで非常にコストを抑えることができます。

⑶新しいルールは極力作らない

ISMS（ISO27001）の構築の際、新しいルールを作っても組織に浸透しないまま審査を迎えてしまうケースもあります。
既存のルールをうまく組み合わせることでISMS（ISO27001）構築を行いましょう。
ムリムダなルールを作る必要はありません。範囲、拠点、人数などで審査費用は大きく変わってきます。

ISMS取得の費用については、こちらのコラムで解説しております。

まとめ

ISMS適合性評価制度は、国際的に整合性のとれた情報セキュリティマネジメントシステムに対する第三者適合性評価制度の仕組みのことを言い、またISMS（ISO27001）認証することを指す場合もあります。

ISMS（ISO27001）認証によって入札に参加できる場合も多く、社内の意識向上も見込めます。

ISMS（ISO27001）認証を自社で行う場合は1年半の期間がかかり膨大な文書作成が求められますが、コンサルタントに依頼することで審査機関選びから文書作成、運用のサポートもあり、認証までの期間を短縮することができます。