ISMS審査合格率100%

0120-068-268
お電話受付:平日9:30〜17:00

ISMS取得の流れガイド|審査の内容やPマークとの違いも解説

スタッフ写真
スタッフ写真

2024年3月8日

ISMS取得の流れガイド|審査の内容やPマークとの違いも解説

ISMS(ISO27001)の取得には、早くて6か月、長くて1年程度かかり、大きく7ステップで考えると良いです。ISMSを取得することで顧客の要求を満たせたり、入札に参加できるようになる等の大きなメリットがあります。情報セキュリティを強化したい方は、ISMSの認証取得を検討してみましょう。

1.ISMSとは


ISMS(ISO27001)とは、「情報セキュリティマネジメントシステム」を指します。
簡単にまとめると、企業・組織として情報を管理し、守るための体制を整えていくことです。

企業・組織として管理すべき情報でも、重要性は異なってきます。また、ルールや基準がなければ行動することもできません。

基準を作るべきは、ただソフト面の体制だけではありません。ハード面や社員が取ってはいけない行動等もルール・基準として定めていく必要があります。

このように、ハード面・ソフト面の観点からリスク対策を行い、また情報を使いやすい体制に整備していく必要があります。

詳しくは以下をご参照ください。

2.ISMS取得のメリット

ISMS(ISO27001)認証を取得すると、以下のメリットがあります。

  1. 入札に参加できるようになる・顧客から仕事を受けることができる
  2. お客様を含め外部にセキュリティ面でのアピールができる
  3. 組織内のセキュリティ意識が向上する

(1)入札に参加できるようになる・顧客から仕事を受けることができる

行政や自治体の仕事を受けるための入札条件に、ISMS認証を取得していることが条件となっている場合が多くなっています。

ISMSを取得することで、事業拡大や売上向上を目指せる等といったメリットがあります。

(2)お客様を含め外部にセキュリティ面でのアピールができる

ISMSを認証している組織は情報セキュリティに関する一定の基準をクリアしている企業として外部へセキュリティの信頼性をアピールすることができます。

第三者からの客観的な評価になるので顧客や外部業者から信頼を得ることができます。

しかしISMSを認証しているからといってセキュリティレベルが非常に高いということをアピールするものではありません。

(3)組織内のセキュリティ意識が向上する

ISMSを認証、維持していくために、従業員への教育、方針の策定、役割の認識等を実施する必要があります。

そのため、ISMS認証を取得する組織ではセキュリティ意識が向上します。

3.ISMS(ISO27001)取得の流れと期間

ISMS取得の流れはPDCAサイクル(Plan-Do-Check-Act)の考え方に基づいて進み、キックオフから取得完了まで早くて6か月、長くて1年ほどかかります。

Plan(計画):ISMS取得の目標を設定し、スケジュールを作成しリソースを確保する
Do(実行):情報セキュリティマネジメントシステム(ISMS)を構築し運用する
Check(評価):内部監査でISMSの運用状況を確認し、マネジメントレビューで経営層に運用状況を報告する
Act(改善):一次審査と二次審査を通じてISMSの構築と運用を確認し、必要な改善を行う

このような流れでISMSの認証を取得し、その適切な運用を維持します。
それぞれのステップについて細かく見ていきましょう。

ISMS取得の流れ

(1)取得の計画を立てる

ISMS取得のためには、まず計画を立てることが重要です。
計画では、まずは取得目的からISMSの認証範囲の決定や、いつまでに取得するのかといった目標を定めましょう。

また、取得までには審査費用等の費用がかかります。審査費用はもちろんのこと、社内で必要な設備やコンサルティング費用も考慮して予算を見ておくと良いでしょう。

上記を踏まえ社内責任者を選定し、プロジェクトチームとして活動を進めると良いでしょう。

(2)認証機関の選定

次に、認証してもらう機関(審査機関)を選定します。認証機関は、ISMSの基準を満たしているかを審査し認証を行います。
認証機関によって審査費用や審査の進め方に違いがあるため、組織に見合う認証機関を選定しましょう。

(3)情報セキュリティマネジメントシステムの構築

認証機関の選定後、情報セキュリティマネジメントシステム(ISMS)を構築します。

ISMSの規格要求事項に合わせて社内ルールを策定しましょう。
これには、情報セキュリティポリシーの策定・リスクアセスメントの実施・リスク対策の選定と実施などが含まれます。

(4)情報セキュリティマネジメントシステム(ISMS)の運用

実際にISMSの運用を行います。
(3)で定めた社内ルールに基づいて業務を行います。

(5)社内チェック(内部監査)とトップへの報告(マネジメントレビュー)

ISMSの運用状況を確認するために、内部監査を行います。
また、マネジメントレビューで経営層にISMSの運用状況を報告します。

(6)審査を受ける

・一次審査

一次審査では、文書フォーマットの確認を中心とした審査が行われます。
ISMSの関連文書(マニュアル等の規程類)が適切に整備されているかが確認されます。

・二次審査

二次審査では、ISMSの関連文書に沿って実際の運用状況が確認されます。
一次審査で確認した書面上のルールが実際に機能しているのか、従業員がルールを守っているのかがチェックされます。

(7)認証取得完了

審査を通過すると、ISMSの認証を取得できます。
認証取得後も、定期的な審査を受けることで、ISMSの適切な運用を維持します。

4.ISMS認証取得にかかる費用

ISMS認証取得にかかる費用は、大きく分けて以下の2つに分類されます。

⑴審査費用

新規取得の場合は一次審査と二次審査の費用がかかります。
認証取得後も、定期的な監査(サーベイランス)が必要となります。これにかかる費用も考慮する必要があります。
どちらも認証機関や認証範囲によって変わりますが年間で数十万円から数百万円程度が一般的です。

⑵社内での準備費用

ISMSの構築や運用、内部監査などにかかる人件費や教育費、コンサルティング費用なども考慮する必要があります。

これらの費用は、企業の規模や業種、認証機関の選定、ISMSの構築状況などにより大きく変動します。
そのため、具体的な金額を出すのは難しいですが、全体として数百万円程度が目安となるでしょう。

詳しくは以下をご参照ください。

 

5.ISMSとPマーク、どちらを取得するのがいい?

どちらの認証も重要になるため、組織ごとにどちらが適しているかを判断していきましょう。
違いを表にまとめます。


規格ISO27001Pマーク
対象事項情報資産全般個人情報のみ
グレード国際規格
グローバル視点で評価に値する
国内規格
審査の違い■簡単
①審査時に、「広く・浅く」見られる
②リスクに応じて対策が打てる、ルールに自由度有
認証範囲を選べる(全社・事業部・拠点等)
④審査機関すべて価格が違う=競争原理ある
⑤審査日数が対象人数に応じて変わる
⑥コンサルタントの審査立会が可能
■難しい
①審査時に「狭く・深く」見られる
②個人情報保護を基準に平均的なリスク対策が必要
組織全体で認証
④審査機関すべて価格が同じ=競争原理なし
⑤審査が1日で終わる
⑥審査は従業員のみが立会可能
審査の頻度3年に1回更新
審査は毎年1回以上
2年に1度
取引要件として

ISO27001が取引要件= ×Pマーク
→Pマークを持っていても、
要件として包括されない

Pマークが取引要件= 〇ISO27001認証
→ ISO27001(ISMS)なら、
Pマークを包括できるケースが多い


6.関連のある規格:ISO27017

ISO27017とは、クラウドセキュリティに関するISOのことです。

ISO27017を取得したい場合、先にISO27001(ISMS)を取得しておくか、ISMSとISO27017を同時に取得する(アドオン規格)必要があります。

取得するメリットとしては、セキュリティ体制の対外的アピールができたり、官公庁入札、大手クライアントの仕事請負/口座開設ができたりするなどのメリットがあります。

取得するべき組織は、クラウドサービスの提供をしている組織です。
一般的に「SaaS」「PaaS」「IaaS」関連のサービスを提供する企業が対象となります。

まとめ

ISMS(ISO27001)取得の流れは7ステップです。

  1. 取得の計画を立てる
  2. 認証機関の選定
  3. 情報セキュリティマネジメントシステム(ISMS)の構築
  4. 情報セキュリティマネジメントシステムの運用
  5. 内部監査・マネジメントレビュー
  6. 審査を受ける
  7. 認証取得

自社のみのリソースで取得を目指すと約1年ほどかかるでしょう。コンサルティング会社の支援を受けると6か月ほどで取得できるでしょう。

ISMS(ISO27001)取得には以下のようなメリットがあります。

  1. 入札に参加できるようになる・顧客から仕事を受けることができる
  2. お客様を含め外部にセキュリティ面でのアピールができる
  3. 組織内のセキュリティ意識が向上する

Pマークとの違いを理解し、審査方法や審査にかかるコストを把握し、適切な認証を受けるようにしましょう。

クラウド関連のサービスを提供している組織は必要に応じISO27017の取得も検討するとよいでしょう。

ISO・Pマーク認証更新でお悩みの方へ

Pマークについてお悩み、ご質問がある方はこちら

認証パートナーは、8000社を超える企業様に認証率100%で支援してきた実績と経験豊富なコンサルタントの知見を活かし、お客様の目標達成を全力でサポートいたします。
アドバイスや取り次ぎだけでなく、書類作成や監督に向けての準備、年々変化するルールへの対応まで、お客様のパートナーとして共に歩んでまいります。
認証取得したいけれど、何をすれば良いか分からない方も、まずはお気軽にご相談ください。

\SNSでシェアしてね/

クリップボードにコピーしました

  ← 記事の内容をまとめた動画はこちら!!

ISO・Pマーク(プライバシーマーク)に関することなら
何でもお気軽にご相談ください

0120-068-268
お電話受付:平日9:30〜17:00

認証パートナーのサービスご説明資料

8,000社以上の支援実績に裏付けされた、
弊社サービスの概要を紹介しております。

資料の内容

  • ・当社のサポート内容
  • ・規格の概要
  • ・取得までに必要な審査費用

ISMS(ISO27001)認証パートナー
サービスのご案内認証パートナーロゴ

認証パートナーロゴ

認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。