ISMS審査合格率100%

0120-068-268
お電話受付:平日9:30〜18:30

ISMS(ISO27001)認証お役立ちコラム

ISMS(ISO27001)とは?Pマークとの違いや規格の概要、立ち位置を解説

スタッフ写真
スタッフ写真

2023年6月9日

ISMS(ISO27001)とは?Pマークとの違いや規格の概要、立ち位置を解説

ISMS(アイエスエムエス)とは、Information Security Management Systemの頭文字をとった略称で、情報セキュリティマネジメントシステムのことを指します。つまり、ISMSとは、情報セキュリティを管理する仕組みのことなのです。
この記事ではISMS(ISO27001)とPマークの違い、実際に取得する流れなどを解説しています。

1.ISMSとは?

ISMS(アイエスエムエス)とは、Information Security Management Systemの頭文字をとった略称で、情報セキュリティマネジメントシステムのことを意味します。

つまり、ISMSとは、情報セキュリティを管理する仕組みのことです。

情報の安全対策を行い、情報漏えいに代表されるインシデント(事故)発生を低減させるための仕組みのことなのです。

2.ISO27001とは?

ISO27001とは、組織内の情報を守り有効活用するための情報セキュリティマネジメントシステム(ISMS)に関するISOの規格です。

システム開発・IT系など情報通信業界の組織の取得が特に多い規格で、
「情報の機密性・完全性・可用性をマネジメントして情報を有効に活用するための組織の枠組み」を示しています。

ちなみに「ISO/IEC27001:2013」という表記を見たことある方もいらっしゃるかもしれませんが、これはISO27001とほぼ同じ意味で、「2013年に改訂された国際標準化機構内の国際電気標準会議で定められた情報セキュリティに関する基準」を指します。

3.ISMSとISO27001は同じ意味?

ISMSは情報セキュリティマネジメントシステムのことなので、「仕組み」のことです。
一方、ISO27001は情報セキュリティマネジメントシステムの「規格」なので、厳密に言うと同じ意味ではありません。

しかし、「ISO27001」を通称で「ISMS」と呼ぶ人も多く、ほぼ同じ意味として使われています。

4.情報セキュリティの3要素CIAとは

ISMS(ISO27001)の目的は、組織内における情報の機密性・完全性・可用性、いわゆる情報セキュリティの3要素を確保することとされています。

3要素の機密性・完全性・可用性とは何でしょうか?

簡単に言うと、

  1. 機密性(Confidentiality)・・・情報が漏れないようにすること
  2. 完全性(Integrity)・・・情報が改ざんされたりしないようにすること
  3. 可用性(Availability)・・・情報が使いたいときに使える状態にすること

となります。

英語の頭文字をとって、まとめてCIA(シーアイエー)と呼びます。

もう少し具体的に言うと・・・

①機密性

機密性とは、企業の中で特定の人だけが閲覧、アクセスできるように保護をしている状態を指します。

言い換えれば、権限のない人が情報にアクセスすることを防止できている状態です。

②完全性

完全性とは、データを最新かつ正しい状態で維持することを指します。

ドキュメントへの電子署名の仕組みだったり、Webサイトにおけるデータベース改ざんを防ぐ仕組み等は、完全性の確保へ繋がります。

③可用性

可用性とは、システムや情報をいつでも利用できる状態を指します。

安定して利用することができるシステムは可用性が高いと言えます。

ISMS(ISO27001)では、この情報の3要素を確保することが求められているのです。

5.ISMS(ISO27001)を取得するメリット・デメリット

ISMS(ISO27001)を取得することでどのようなメリットがあるのでしょうか?また、デメリットはあるのでしょうか。

■メリット

  1. 顧客や取引先から信頼を得やすい状態になる
    審査機関という第三者から認証されることで、お客様や取引先から信頼を得やすくなりますし、取引を拡大できるケースもあります。
  2. 情報を取り扱う手順やルールを明確にできる
    ISMSの取得・更新は情報セキュリティのルールの過不足を確認する機会になりますし、すでにあるルールの妥当性についても確認できます。
  3. 役割や責任権限が明確になる
    取得・更新で今まで“なんとなく”振り分けていた役割や責任を改めて確認できる機会になります。

■デメリット

  1. 作業が増える
    審査機関から評価を受けるためには、実施したと確認できる記録が必要になります。今まで口頭で確認していたことを書面に残す必要が出てくるなどがあります。
  2. 守るべきルール・手順が増える
    ISMS(ISO27001)の構築で難しいのがこの部分です。
    セキュリティを担保するために考えれば行うべき手順も、「社員の手間が増える…」「業務が窮屈になってしまう…」などといったリスクがあります。
    日常業務が行いにくい体制になってしまっては本末転倒なので、状況に合ったルールや手順を判断していく必要があります。
  3. 審査費用が発生する
    取得にも審査費用がかかりますが、維持するために毎年審査を受ける必要がありますので毎年費用が発生します。

こちらの記事でメリット・デメリットについてより詳しく解説しております。
ISMS(ISO27001)の必要性は?取得のメリット・デメリットを紹介

6.ISMS(ISO27001)とPマークの違い

さて、プライバシーマーク(Pマーク)という認証をご存知でしょうか。
プライバシーマークとISMS(ISO27001)は少し似ているので、
「ISMSとPマークの違いって何ですか?」
「当社はどっちを取得したらいいですか?」
とよく質問いただきます。

同じ情報保護の認証に思えますが、比較すると、保護する対象やよく使われる業界グローバルか否かなどかなり違いがあります。
一覧で比較してみましょう。

ISMS(ISO27001)とプライバシーマーク(Pマーク)の違いについてさらに詳しく知りたい方はこちらの記事をご覧ください。
プライバシーマーク(Pマーク)とISMSの違いを徹底比較!結局どっちが良いの?

7.ISMS導入の手順とポイント

大まかに下記の流れとなります。

【導入手順】

  1. 認証範囲の確定
  2. 情報セキュリティの方針を策定
  3. 審査機関を選定
  4. 体制の確定
  5. 文書の作成
  6. リスクアセスメントの実施
  7. 従業員教育を実施
  8. 内部監査を実施
  9. マネジメントレビューの実施
  10. 審査

ISMS導入のポイントとしては、
企業の実態に沿わせる形でマニュアルの構築を行うこと、余計な文書類は極力減らすことが挙げられます。

(1)認証取得の流れ

ISO27001は会社全体ではなく、各組織での取得が可能です。

まずは、認証取得をしたい組織(範囲)を確定し、認証範囲の業務と実態に合わせた情報セキュリティ方針(ルール)を策定します。策定したルールに従って運用する過程で、審査機関を選定及び認証に必要な文書を作成します。

また組織の中で情報資産だと思われるものを特定し、リスク評価を実施、従業員への教育を通じISMSがどのようなモノか知る必要があります。

その後、内部監査でルールと実態の整合性を確認することによって、より規格要求事項に沿った運用が実現できます。
最後にマネジメントレビューを行い、運用成果及び改善をアウトプットし審査を受ける流れとなります。
審査を無事クリアできれば認証完了です。

ISMS取得の流れについては、こちらの記事で詳しく解説しております。
ISMS取得の流れガイド|審査の内容やPマークとの違いも解説

(2)認証取得にかかる費用

審査費用は50万〜100万円が相場です。

拠点数や従業員数によって変動しますが、一般的に維持・更新費用は数十万円ほどです。
また、審査機関によっても多少費用が異なります。

ISMS認証取得にかかる費用について、詳しくはこちらのコラムをご覧ください。
ISMS(ISO27001)新規取得費用いくら見ればいいの?

(3)審査

審査には新規認証時の審査、更新審査、維持審査の3種類があります。

内容については、ISO27001の要求事項と実態が整合しているか審査員が確認します。

実態と整合していない場合は不適合が発生し、運用について伸びしろがある場合は推奨事項といった形で記録が残されます。

不適合が発生した場合は、今後このような事案が発生しないよう是正対応が求められます。

審査について、詳しくはこちらの記事をご覧ください。
ISMSの審査は難しい?流れ、準備物、注意するポイントを解説

(4)有効期限と更新

有効期限については、登録判定の翌日を初回登録日となります。

そこから、3年間が有効期限となり、当該期限の3~4ヶ月前に更新審査を受けることにより、認証期限が3年間へ更新されます。

8.ISO27001を取得した後の運用は

無事にISMS(ISO27001)を認証取得できたら、達成感と共にひと息つきたくなりますが、ISMSは「取得したら終わり」ではありません。

定期運用で実施すべきことが決められており、要求事項に沿って運用し、次回の審査に備えなければなりません。

定期運用でやることはこちら
ISMS(ISO27001)定期運用の1年間でやること

9.ISO27001取得企業の調べ方

「この会社ってISMS(ISO27001)取得しているのかな?調べたいな」という場合の検索方法をご紹介します。

ISMS(ISO27001)を取得した会社は名刺や会社パンフレットにISMS認証取得のロゴマークを入れているケースが多いので、名刺やパンフレットがお手元にある場合は一度見てみましょう。

そして次にチェックするべきは、その企業のサイトやホームページです。

取得している場合は、ホームページの

  • トップページ
  • 会社概要
  • セキュリティ方針、セキュリティポリシー

に取得の旨を掲載されている企業が多いです。

また、情報マネジメントシステム認定センター(ISMS-AC)のwebサイトでISMS(ISO27001)取得企業の検索ができます。
ISMS認証取得組織検索(外部リンク)
見てもらうとわかる通り、登録している企業数と情報公開している企業数に差異があります。

つまり、ここに掲載されていないからと言って必ずISMS(ISO27001)を取得していない、というわけではありません。

参考程度に見てみてください。

10.ISMSとGDPRの関係について

個人データの保護にまつわる規則として、EUで施行されたGDPRというものがあります。

GDPRとは「Gneral Data Pritection Regulation」の略で、日本語に訳すと「一般データ保護規則」となります。EU保護指令に代わり、2018年5月25日から施行されています。

GDPRは、組織が個人データのプライバシーを確保するための規則です。
対して、ISO27001は組織における情報セキュリティに焦点を絞り、情報を保護する認証規格となります。

GDPR、ISO27001は異なるものですが、類似のルールもあり、欧州の企業を中心に両方に準拠していると掲げる傾向が増えてきています。

日本企業においてGDPRへの対策が必要となるのは、以下3点です。

  1. EU加盟国に営業所等を持つ企業
  2. EU加盟国へtoC向けの商品やサービスを提供している企業
  3. EU加盟国から個人データの処理について委託を受けている企業

※上記⑴~⑶に該当する企業はGDPRを取り組み、
⑴〜⑶に該当しない企業は、基本的には対応不要です。
列挙している通り、該当する企業はEU区域内で事業活動している企業です。

判断が難しい部分もありますので、一度当社にお問合せください。
状況をお伺いし、無料相談を受け付けます。

プロのコンサルタントがお悩みをお伺いします。
お気軽にご相談ください。

まとめ

ISMS(ISO27001)とはどういったものか紹介いたしましたがご理解いただけましたでしょうか。

ISMSとは「組織の情報を守るためのマネジメントシステム」のことです。
ISO27001とは「組織内の情報を守り有効活用するための情報セキュリティマネジメントシステム(ISMS)に関するISOの規格」です。

初めてISMS(ISO27001)について調べる方は分からないことがたくさんあると思います。取得や運用についてご不明点やご相談がございましたらお気軽にお問い合わせください。

プロのコンサルタントがお悩みをお伺いします。
お気軽にご相談ください。

  ← 記事の内容をまとめた動画はこちら!!

\ フォローしてね /

認証パートナーの
Youtubeチャンネル

ISO・Pマーク(プライバシーマーク)に関することなら
何でもお気軽にご相談ください

認証パートナーロゴ

0120-068-268
お電話受付:平日9:30〜18:30

5営業日以内にお届け!

新規取得・運用別に
役立つ資料をお届けします

新規認証や運用・更新にあたって当社が何を請け負うか、
わかりやすい資料でご検討の参考にしてください。

役立つ資料をお届け

ISMS(ISO27001)認証パートナー
サービスのご案内

認証パートナーロゴ

認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。