2024年4月30日
ISO27001の認証を取得するには、情報資産の洗い出し・リスク評価対策・内部監査・トップインタビューといったPDCAを実施し、一次審査、二次審査と2回の審査を受けることが必要です。ISO27001は国際的な規格であり、取得することで信頼性向上などのメリットがあります。
目次
- 1.ISO27001とは?
- (1)ISO27001とは
- (2)ISO/IEC27001とは?
- (3)ISMSとは?
- (4)ISO27001とPマークの違い
- 2.ISO27001認証取得までの期間
- 3.認証取得のおおまかな流れ
- (1)全体の計画を立てる
- (2)審査機関を選定する
- (3)情報セキュリティマネジメントシステム(ISMS)を構築する
- (4)ISMSを運用する
- (5)社内チェック(内部監査)とトップへの報告(マネジメントレビュー)
- (6)審査を受ける(一次審査)
- (7)審査を受ける(二次審査)
- (8)認証取得完了
- 4.ISO27001の取得費用
- ①認証審査費用
- ②コンサルティング費用
- 5.ISO27001取得の審査
- (1)審査の内容と対策
- 6.ISO27001取得にコンサルタントは必要なのか
- 7.情報セキュリティアセスメントとは
- 8.機密性・完全性・可用性について
- ①機密性(Confidentiality)
- ②完全性(Integrity)
- ③可用性(Availability)
- 9.ISO27001認証取得メリット・デメリット
- (1)メリット
- (2)デメリット
- まとめ
1.ISO27001とは?
(1)ISO27001とは
ISO27001とは、情報セキュリティマネジメントシステム(ISMS)の国際標準規格です。
ISO27001は、情報資産の保護、情報セキュリティリスクの管理、情報セキュリティ管理の継続的改善を目的としています。
組織がこの規格に準拠することで、情報セキュリティの管理体制が適切に機能していることを証明できます。簡単にいうと「安心・安全なビジネス環境を整えていこう」ということです。
(2)ISO/IEC27001とは?
ちなみに、ISO27001は、ISO/IEC27001と記載されていることがあります。
IECは、International Electrotechnical Commissionの略で、日本語では「国際電気標準会議」を意味します。電気、電子、関連技術分野の国際標準を策定するための国際的な非営利組織です。ISOとIECが共同で策定した情報セキュリティマネジメントシステムの国際標準がISO/IEC27001です。
(3)ISMSとは?
ISO27001と並んで、ISMSという呼称もよく耳にします。
ISO27001とは「規格要求」を指し、ISMSとは「マネジメントシステム」を指しています。
認証の名称としてはISO27001が正しいですが、ISMSと通称されるケースもありますので、ISMSを認証していると言っても問題はありません。
正しく理解するのであれば、規格要求を満たして認証されるため、「ISO27001を認証取得している」が正しい表現でしょう。
(4)ISO27001とPマークの違い
プライバシーマーク(Pマーク)という認証をご存知でしょうか。
ISO27001とPマークは、どちらもマネジメントシステムによるPDCAの仕組となり、第三者認証です。
しかし、以下のような違いがあります。
・対象範囲
ISO27001は組織が持つ情報資産全体を対象としています。一方、Pマークは「個人情報」の保護に特化しています。
つまり、ISO27001のほうが広い範囲を対象としているのです。
・発行元
ISO27001は国際標準化機構(ISO)が発行している国際規格です。グローバルに通用します。
Pマークは日本国内の認証制度です。
・有効期限
ISO27001は3年間の有効期限ですが、2回の維持審査と、1回の更新審査により毎年審査があります。
Pマークは2年間の有効期限のため、2年に1度の審査があります。
違いはありますが、どちらがよいというものではなく、あくまで第三者認証となるため、顧客要求や、取得する目的に合わせて、規格を決めるようにしましょう。
ISO27001とPマークの違いについて詳しく知りたい方はこちらの記事をご覧ください。
【結論】どっちを取得するのがいい!?PマークとISMSの違いを徹底比較!
https://ninsho-partner.com/pmark/column/privacymark_isms_hikaku/
2.ISO27001認証取得までの期間
ISO27001の認証取得までの期間は、企業の規模や既存の情報セキュリティ管理体制の状況によりますが、一般的には約6ヶ月から1年程度とされています。
ただし、これはあくまで目安であり、準備が整っていればより短期間で認証を取得することも可能です。
また、逆に準備が不十分な場合や改善点が多い場合は、より長い期間を要することもあります。
3.認証取得のおおまかな流れ
(1)全体の計画を立てる
取得までに必要な項目を洗い出し、計画を立てましょう。いつまでに取得完了したいかの期日、適用範囲、認証プロジェクトの担当者や予算を決定します。
また、「プロの手を借りたい」「専門家に導いて欲しい」という場合は、コンサルティング会社に問い合わせを行います。
(2)審査機関を選定する
多くの審査機関がある中で、審査を受ける審査機関を決定します。自社の要望に合いそうな審査機関を数社選び、合い見積もりをとって決定します。
(3)情報セキュリティマネジメントシステム(ISMS)を構築する
情報セキュリティマネジメントシステム(ISMS)を構築します。
ISMSの規格要求事項に合わせて社内ルールを策定しましょう。これには、情報資産の洗い出し、情報セキュリティポリシーの策定、リスクアセスメント実施、リスク対策の計画と実施などが含まれます。
(4)ISMSを運用する
ルールが決まり文書ができた後は実際にマネジメントシステムの運用に入ります。実際の運用に関しては、活動の結果を証拠として記録を残す必要があります。例えば、情報資産を一覧にした台帳やリスクアセスメントの結果などが該当します。審査でも記録類の確認をされるので準備しましょう。
(5)社内チェック(内部監査)とトップへの報告(マネジメントレビュー)
一通りの運用が終われば、つぎはチェックを行い、次に向けてのアクションを決めていきます。
ISMSでは、内部監査とマネジメントレビューが該当します。ISMS(ISO27001)を取得するには内部監査・マネジメントレビューの実施は必須です。計画的な実施と実施結果を記録に残すようにしましょう。
(6)審査を受ける(一次審査)
マネジメントレビューまで完了したら、ついに審査にのぞむことになります。
新規取得をする場合には2回の審査があり、1回目の審査は文書類の審査です。
自社で作った文書類や記録類が、ISMS(ISO27001)の要求を満たしているかを確認されます。
文書類や記録類を確認してもらい、二次審査を受けられるかどうか のチェックをされます。
(7)審査を受ける(二次審査)
一次審査が終わると二次審査、いわゆる現地審査を迎えます。
自社で作ったルール通りに運用が行われているか、等の中身の妥当性を見る審査です。
実際の仕事内容や現場をチェックしてISMSの認証ができる状態かを見られます。
ここでは一次審査で受けた指摘の結果対応も見られますので、二次審査までに対応を終えておくようにしましょう。
ISMSの審査については以下を参照してください。
ISMSの審査は難しい?流れ、準備物、注意するポイントを解説
https://ninsho-partner.com/isms/column/isms_koushin_iji_shinsa/
(8)認証取得完了
二次審査を終えて審査機関のOKが出るとついに認証になります。
認定証が手元に届きます。同時に認証のマークも届きますので、名刺やホームページに掲載していくようにすると良いかと思います。
認定証が届いたら終わりではありません。ISMS(ISO27001)は毎年審査がございます。早速ですが、次年度の審査までの段取りを始めましょう。
取得できて安心し、油断してたら何もしないうちに次の審査を迎えたといったことがないように進めるようにしましょう。
ISMSの運用については、以下を参照してください。
ISMS(ISO27001)定期運用の1年間でやること
https://ninsho-partner.com/isms/column/isms_teiki-unnyou/
4.ISO27001の取得費用
ISO27001には大きく分けて2種類の費用が発生します。
①認証審査費用
審査機関に支払う金額です。審査費用や認証登録費用等、ISO27001を取得する上で必ずかかる費用です。
②コンサルティング費用
自社のリソースのみで構築、運用をする場合、時間はかかりますが、コンサルティング費用はかかりません。
自社と認証機関との間に入りコンサルティングしてくれるコンサル会社の費用は、新規取得時も同様ですが、その後ずっと続く運用面のサポートにも目を向けたほうがよいでしょう。
ISO27001は取得して終わりではありません。
認証完了後も維持するためには維持審査、更新審査を受けるためランニングコストがかかりますので下記を参照してみてください。
取得後も発生する費用・ランニングコストについて
https://ninsho-partner.com/isms/column/isms_shinki-shutoku-hiyou/#chapter-7
5.ISO27001取得の審査
(1)審査の内容と対策
内容としては、ISMSを認証取得させて問題ない組織かどうかを確認することなので、大きく見るポイントは3点です。
- 規格要求事項をルール化できているか
- ルール通りに運用できているか
- 目標達成などに向けて、妥当なルール・運用・内容なのか
以下参照にしてみてください。
ISMSの審査は難しい?流れ、準備物、注意するポイントを解説
https://ninsho-partner.com/isms/column/isms_koushin_iji_shinsa/
6.ISO27001取得にコンサルタントは必要なのか
ほとんどの企業ではISO27001の取得をまかされた担当者が通常業務と兼務でISO27001の担当となることが多いため、負担が大きいでしょう。
ゼロから規格の勉強をしたりセミナーに参加したり、書類の作成、審査の対応などにかかる時間・費用・工数を考えると、コンサル会社を使用するほうが効果的です。
なによりコンサルタントは他社事例や経験を多く持っているため、よりスムーズな取得へ導いてくれます。
7.情報セキュリティアセスメントとは
ISO27001は、情報セキュリティの管理体制の構築・運用を求めています。
情報セキュリティアセスメントとは、組織の情報セキュリティの状況を評価・分析することを指し、ISO27001認証取得のためには必須です。
具体的には、情報セキュリティポリシーやガイドラインの遵守状況、セキュリティ対策の適切性、脆弱性の有無、リスクの評価などを行います。
これにより、組織の情報セキュリティの強化や改善策の策定、リスクの管理などに役立てることができます。
8.機密性・完全性・可用性について
機密性・完全性・可用性とは情報セキュリティの3つの基本的な要素で、
情報セキュリティマネジメントシステムでは、機密性、完全性、可用性の3つに対して、様々な対策を講じる必要があります。
ただ、ここで大切になってくるのが、どれか一つだけ対策を講じればいいわけではなく、
3つの観点全てを考慮し、対策を建てていく必要があります。
それぞれは以下のように定義されます。
①機密性(Confidentiality)
情報が許可された者だけがアクセスできる状態を指します。不正なアクセスや漏洩から情報を保護することが求められます。
②完全性(Integrity)
情報が正確であり、不正な改ざんや破壊から保護されている状態を指します。情報の信頼性を保つために重要な要素です。
③可用性(Availability)
情報が必要な時に、許可された者が適切にアクセスできる状態を指します。システムのダウンタイムやネットワークの遅延などから情報を保護することが求められます。
9.ISO27001認証取得メリット・デメリット
ISO27001の認証取得には、メリットがたくさんある一方、デメリットも存在します。
(1)メリット
情報セキュリティの国際的な基準に準拠していることを証明できる。
企業の情報セキュリティ対策が適切であることを第三者が認証することで、顧客や取引先からの信頼を得られる。
情報セキュリティリスクを管理し、事故やインシデントを未然に防ぐことができる。
法令遵守や契約上の義務を果たすためのフレームワークを提供する。
(2)デメリット
認証取得までに時間とコストがかかる。
継続的な改善と監査が必要であり、そのためのリソースが必要。
全社的な取り組みが必要であり、組織全体の理解と協力が必要。
認証取得後も定期的な更新が必要であり、そのためのコストと時間が発生する。
まとめ
ISO27001の新規取得に関しても、何のために取得するのか、自社ではどの範囲で取るべきか、費用はどのくらいか、期間はどのくらいかなど、実績や経験、事例をもとにした情報が一番確実で早いことは確かです。
ご不明点やイメージ付け、情報収集だけでもお気軽にご連絡ください。
ISO・Pマークについてのお悩みはありませんか?
- SNSでシェア
- Tweet
ISO・Pマーク(プライバシーマーク)に関することなら
何でもお気軽にご相談ください
0120-068-268
お電話受付:平日9:30〜17:00
お電話受付:平日9:30〜17:00
-
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!
お問合せは
こちらから -
全国どこでもオンラインで対応!
気軽にご相談ください!
相談予約は
こちらから
認証パートナーのサービスご説明資料
新規認証や運用・更新にあたって
当社が請け負うことをわかりやすくまとめました。
ぜひご検討の参考にしてください。
資料の内容
- ・当社のサポート内容
- ・規格の概要
- ・取得までに必要な審査費用
ISMS(ISO27001)認証パートナー
サービスのご案内
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
-
Pマーク
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。Pマークの認証ページへ -
ISO9001
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。ISO9001の認証ページへ -
ISO14001
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。ISO14001の認証ページへ -
ISMS・ISO27001
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。ISMS/ISO27001の認証ページへ