１．ISMSとは

ISMS（ISO27001）とは、「情報セキュリティマネジメントシステム」を指します。
簡単にまとめると、企業・組織として情報を管理し、守るための体制を整えていくことです。

企業・組織として管理すべき情報でも、重要性は異なってきます。また、ルールや基準がなければ行動することもできません。

基準を作るべきは、ただソフト面の体制だけではありません。ハード面や社員が取ってはいけない行動等もルール・基準として定めていく必要があります。

このように、ハード面・ソフト面の観点からリスク対策を行い、また情報を使いやすい体制に整備していく必要があります。

詳しくは以下を参照してください。
ISMS(ISO27001)とは？概要を分かりやすく説明

２．ISMSはなぜ必要なのか

ISMS（ISO27001）認証を取得すると、以下のメリットがあります。

1. 入札に参加できるようになる・顧客から仕事を受けることができる
2. お客様を含め外部にセキュリティ面でのアピールができる
3. 組織内のセキュリティ意識が向上する

(1)入札に参加できるようになる・顧客から仕事を受けることができる

行政や自治体の仕事を受けるための入札条件に、ISMS認証を取得していることが条件となっている場合が多くなっています。

ISMSを取得することで、事業拡大や売上向上を目指せる等といったメリットがあります。

(2)お客様を含め外部にセキュリティ面でのアピールができる

ISMSを認証している組織は情報セキュリティに関する一定の基準をクリアしている企業として外部へセキュリティの信頼性をアピールすることができます。

第三者からの客観的な評価になるので顧客や外部業者から信頼を得ることができます。

しかしISMSを認証しているからといってセキュリティレベルが非常に高いということをアピールするものではありません。

(3)組織内のセキュリティ意識が向上する

ISMSを認証、維持していくために、従業員への教育、方針の策定、役割の認識等を実施する必要があります。

そのため、ISMS認証を取得する組織ではセキュリティ意識が向上します。

3．ISMS（ISO27001）取得の流れと期間

ISMS（ISO27001）取得の流れは、下記の通りです。
キックオフから取得完了まで早くて６か月、長くて１年程度かかります。

(1)取得までの計画を立てる

まず、取得の計画を立てる流れを確認しましょう。

①取得時の目的を再確認

企業・組織として、ISMSを取得する際には、やはり社員の協力が不可欠です。

組織として、ISMSを取る目的を社内で共有する方がスムーズに準備が進められます。
きちんと取得の目的や、組織としてのメリットを認識する必要があります。

ISMS取得のメリット・デメリットは以下を参照してください。
ISMS(ISO27001)の必要性は？取得のメリット・デメリットを紹介

また、取得時に反対意見が出ないよう想定される意見も考えていくとより準備を進めやすくなるでしょう。

「社内の体制が面倒になりそう」「やることが増えるのでは」という不安はもちろんですが、業態によっては「取得するのはPマーク（プライバシーマーク）でなくてよいのか？」という考えも出てくる可能性があります。

なぜISMSなのか、という観点も認識しておくとよいでしょう

ISMSとPマークの違いについては、以下を参照してください。
プライバシーマーク(Pマーク)とISMSの違いを徹底比較！結局どっちが良いの？

②社内責任者の選定

ISMSを取得する際の社内責任者を選定します。
本業とは違う仕事が発生するので責任の所在をはっきりさせるためにも選定する必要があります。

また人数が多い組織の場合は、伝達を行いやすいよう部門ごとの担当者等もこのタイミングで決められると、よりスムーズに進むでしょう。

③取得期日を決める

計画を立てる際、先にゴール地点を決めた方が期日が延びずに計画を作れます。
取得の目的から考え、いつまでに取得したいのかを決めていくと良いでしょう。

また、ISMSの取得のゴールを具体的に決めることも重要です。

認証が取れたという状態なのか、認定証が手元に届いたことをゴールにするのかによって期日が変わります。具体的であればあるほど、計画にリアリティが増します。
是非具体的に考えてください。

④内製かアウトソースかの意思決定

取得に向けての準備を、内製（自社で取得する）か、アウトソース（コンサル会社、ツール等）を決めていきましょう。
ここは、複数の観点から検討する必要があります。

• 人員のリソースの問題
• 費用の問題
• 知識、経験の問題

ISMSは、良くも悪くも最初に作ったルールや書式をベースに運用を行っていきます。最初に組織の実態に合ったルール作りを行うためにも、何がベストかを考えた方が良いです。

組織内のリソースだけでは足りなかったり、専門性が高くてやりきれないことは、アウトソースも視野に入れて検討出来るとよいです。

なお、コンサル選びのポイントについては以下を参照してください。
ISMS（ISO27001）サポ―トのアウトソースを考えた時に見るべき7つのポイント

⑤予算決め

ISMSを取得するにあたって、事前に予算を考える必要があります。

審査費用はもちろんのこと、社内で必要な設備の費用、コンサルティング費用も費用のイメージと予算を見ておくと良いでしょう。

費用については以下を参照してください。
ISMS(ISO27001)の取得および維持・更新にかかる費用

尚、人件費だけは予算上では見えない部分になります。

社内のリソースやバランスによっても状況が変わって来るかと思いますが、事前に考えておくと業務上の影響も少なく進められると思います。
是非人件費も加味しながら検討してみてください。

コンサルティング費用ですが、認証パートナーの場合は月額４万円～でサポートしています。
審査費用・コンサルティング費用の具体的な金額が知りたい方は是非お見積り依頼してください。

⑥審査機関の選定

ISMSの審査機関は、一般財団法人や株式会社等、複数の組織が審査を行っています。審査機関によって費用や特徴等一部異なる部分があります。

ただし、ISO自体は国際規格ですから、どの審査機関で取得しても「ISMSを持っている」ということには変わりありません。

そのため、費用や実際に話を聞きながら、費用やサービス面を加味して審査機関を選べるとよいでしょう。

ただし、取引先や親会社から審査機関や認定機関を指定されるようなことがあります。取得の前に事前確認を行いましょう。

⑦スケジュールを立てる

事前に取得の時期を決めましたので、それに合わせて詳細な計画を立てます。 ISMSでは、審査時期は事前に予約を行う必要があります。

いつ手続きするのか、いつ審査を行うのか、等を逆算してより具体的にしましょう。
コンサルティングを受ける場合は、コンサル会社と相談しながら計画を立てます。お互いに計画や目標の時期を把握することができます。

ISMSでもそうですが、物事を進めるのに「計画」は非常に重要になります。自社の状況に合わせて計画を立ててください。

(2)情報セキュリティマネジメントシステムを構築する

ISMSを取得するまでに文書構築が必要になります。
例えば、基本となるマニュアル、適用宣言書、セキュリティの規定が該当します。

ISMSの運用に関わるマニュアルや安全管理のための規程を作ることが多いので、準備するようにしましょう。

(3)ISMSを運用する

ルールが決まり文書ができた後は実際にマネジメントシステムの運用に入ります。
実際の運用に関しては活動の結果を証拠として記録を残す必要があります。

例えば、情報資産を一覧にした台帳やリスクアセスメントの結果などが該当します。審査でも記録類の確認をされるので準備しましょう。

(4)社内チェック（内部監査）とトップへの報告（マネジメントレビュー）

一通りの運用が終われば、つぎはチェックを行い、次に向けてのアクションを決めていきます。

ISMSでは、内部監査とマネジメントレビューが該当します。

ISMS（ISO27001）を取得するには内部監査・マネジメントレビューの実施が必要になるので、計画的な実施と実施結果を記録に残すようにしましょう。

(5)審査を受ける（一次審査）

マネジメントレビューまで完了したら、ついに審査にのぞむことになります。

新規取得をする場合には2回の審査があり、1回目の審査は文書類の審査となります。

自社で作った文書類や記録類が、ISMS（ISO27001）の要求を満たしているかを確認されます。
文書類や記録類を確認してもらい、二次審査を受けられるかどうか のチェックをされます。

(6)審査を受ける（二次審査）

一次審査が終わると二次審査、いわゆる現地審査を迎えます。
自社で作ったルール通りに運用が行われているか、等の中身の妥当性を見る審査です。

実際の仕事内容や現場をチェックしてISMSの認証ができる状態かを見られます。
ここでは一次審査で受けた指摘の結果対応も見られますので、二次審査までに対応を終えておくようにしましょう。

ISMSの審査については以下を参照してください。
ISMSの審査は難しい？流れ、準備物、注意するポイントを解説

(7)認証取得完了

二次審査を終えて審査機関のOKが出るとついに認証になります。

認定証が手元に届きます。同時に認証のマークも届きますので、名刺やホームページに掲載していくようにすると良いかと思います。
認定証が届いたら終わりではありません。ISMS（ISO27001）は毎年審査がございます。早速ですが、次年度の審査までの段取りを始めましょう。

取得できて安心し、油断してたら何もしないうちに次の審査を迎えたといったことがないように進めるようにしましょう。

ISMSの運用については、以下を参照してください。
ISMS（ISO27001）定期運用の１年間でやること

4．ISMSとPマーク、どちらを取得するのがいい？

どちらの認証も重要になるため、組織ごとにどちらが適しているかを判断していきましょう。
違いを表にまとめます。

ISMSとPマークの違いについて詳しくは以下を参照してください。
【結論】どっちを取得するのがいい！？PマークとISMSの違いを徹底比較！

5．関連のある規格：ISO27017

ISO27017とは、クラウドセキュリティに関するISOとなります。

ISO27017を取得したい場合、先にISO27001(ISMS)を取得しておくか、ISMSとISO27017を同時に取得する（アドオン規格）必要があります。

取得するメリットとしては、セキュリティ体制の対外的アピールができたり、官公庁入札、大手クライアントの仕事請負/口座開設ができたりするなどのメリットがあります。

取得するべき組織は、クラウドサービスの提供をしている組織になります。です。

一般的に「SaaS」「PaaS」「IaaS」関連のサービスを提供する企業が対象となります。

ISO27017について詳しくは以下を参照してください。
ISO27017：クラウドセキュリティ認証取得の手順やポイントを解説

まとめ

ISMS（ISO27001）取得には以下のようなメリットがあり、必要に応じISO27017の取得も検討してください

1. 入札に参加できるようになる・顧客から仕事を受けることができる
2. お客様を含め外部にセキュリティ面でのアピールができる
3. 組織内のセキュリティ意識が向上する

Pマークとの違いを理解し、審査方法や審査にかかるコストを把握し、適切な認証を受けるようにしましょう。