ISMS（アイエスエムエス）とは、Information Security Management Systemの頭文字をとった略称で、情報セキュリティマネジメントシステムのことを指します。

つまり、ISMSとは、情報セキュリティを管理する仕組みのことなのです。

１．ISMSとは？

ISMS（アイエスエムエス）とは、Information Security Management Systemの頭文字をとった略称で、情報セキュリティマネジメントシステムのことを意味します。

つまり、ISMSとは、情報セキュリティを管理する仕組みのことです。

情報の安全対策を行い、情報漏えいに代表されるインシデント（事故）発生を低減させるための仕組みのことなのです。

２．ISO27001とは？

ISO27001とは、組織内の情報を守り有効活用するための情報セキュリティマネジメントシステム（ISMS）に関するISOの規格です。

システム開発・IT系など情報通信業界の組織の取得が特に多い規格で、
「情報の機密性・完全性・可用性をマネジメントして情報を有効に活用するための組織の枠組み」を示しています。

ちなみに「ISO/IEC27001:2013」という表記を見たことある方もいらっしゃるかもしれませんが、これはISO27001とほぼ同じ意味で、「2013年に改訂された国際標準化機構内の国際電気標準会議で定められた情報セキュリティに関する基準」を指します。

３．ISMSとISO27001は同じ意味？

ISMSは情報セキュリティマネジメントシステムのことなので、「仕組み」のことです。
一方、ISO27001は情報セキュリティマネジメントシステムの「規格」なので、厳密に言うと同じ意味ではありません。

しかし、「ISO27001」を通称で「ISMS」と呼ぶ人も多く、ほぼ同じ意味として使われています。

４．情報セキュリティの３要素CIAとは

ISMS（ISO27001）の目的は、組織内における情報の機密性・完全性・可用性、いわゆる情報セキュリティの３要素を確保することとされています。

３要素の機密性・完全性・可用性とは何でしょうか？

簡単に言うと、

①機密性(Confidentiality)・・・情報が漏れないようにすること
②完全性(Integrity)・・・情報が改ざんされたりしないようにすること
③可用性(Availability)・・・情報が使いたいときに使える状態にすること

となります。

英語の頭文字をとって、まとめてCIA（シーアイエー）と呼びます。

もう少し具体的に言うと・・・

①機密性
企業の中で特定の人だけが閲覧、アクセスできるように保護をしている状態のことです。
言い換えれば、権限のない人が情報にアクセスすることを防ぐことを指します。
IDとパスワードを設定して、権限を有するユーザーにのみ情報へのアクセスを許可することや、ファイアウォールを設置し、企業内への不正アクセスを防止する仕組みは機密性を確保するために重要となります。

②完全性
情報が破壊、改ざんされていないことを保証することを指します。
ドキュメントへの電子署名の仕組みだったり、Webサイトにおけるデータベース改ざんを防ぐ仕組みなどは、完全性の確保につながります。

③可用性
可用性とは、システムや情報をいつでも利用できる状態にすることを指します。
インシデント発生の際、迅速な復旧を可能にするデータのバックアップはその第一歩となります。
また、BCPを策定し、地震などの災害時においても情報システムを継続利用可能な対策をすることも、可用性確保のための対策となります。

ISMS（ISO27001）では、この情報の３要素を確保することが求められているのです。

５．ISMS（ISO27001）を取得するメリット・デメリット

ISMS（ISO27001）を取得することでどのようなメリットがあるのでしょうか？また、デメリットはあるのでしょうか。

■メリット
①顧客や取引先から信頼を得やすい状態になる
審査機関という第三者から認証されることで、お客様や取引先から信頼を得やすくなりますし、取引を拡大できるケースもあります。

②情報を取り扱う手順やルールを明確にできる
ISMSの取得・更新は情報セキュリティのルールの過不足を確認する機会になりますし、すでにあるルールの妥当性についても確認できます。

③役割や責任権限が明確になる
取得・更新で今まで“なんとなく”振り分けていた役割や責任を改めて確認できる機会になります。

■デメリット
①作業が増える
審査機関から評価を受けるためには、実施したと確認できる記録が必要になります。今まで口頭で確認していたことを書面に残す必要が出てくるなどがあります。

②守るべきルール・手順が増える
ISMS（ISO27001）の構築で難しいのがこの部分です。
セキュリティを担保するために考えれば行うべき手順も、「社員の手間が増える…」「業務が窮屈になってしまう…」などといったリスクがあります。
日常業務が行いにくい体制になってしまっては本末転倒なので、状況に合ったルールや手順を判断していく必要があります。

③審査費用が発生する
取得にも審査費用がかかりますが、維持するために毎年審査を受ける必要がありますので毎年費用が発生します。

こちらの記事でメリット・デメリットについてより詳しく解説しております。
http://ninsho-partner.com/knowledge/isms-merit-demirit/

６．ISMS（ISO27001）とPマークの違い

さて、プライバシーマーク（Pマーク）という認証をご存知でしょうか。
プライバシーマークとISMS（ISO27001）は少し似ているので、
「ISMSとPマークの違いって何ですか？」
「当社はどっちを取得したらいいですか？」
とよく質問いただきます。

同じ情報保護の認証に思えますが、比較すると、保護する対象やよく使われる業界グローバルか否かなどかなり違いがあります。
一覧で比較してみましょう。

ISMS（ISO27001）とプライバシーマーク（Pマーク）の違いについてさらに詳しく知りたい方はこちらの記事をご覧ください。
http://ninsho-partner.com/feature/privacymark_isms_hikaku/

７．ISMS（ISO27001）を取得する流れ

ISMS（ISO27001）取得の流れは、下記の通りです。
キックオフから取得完了まで早くて６か月、長くて１年程度かかります。

①取得までの計画を立てる
↓
②情報セキュリティマネジメントシステムを構築する
↓
③ISO27001を運用する
↓
④審査を受ける（一次審査⇒二次審査⇒審査会）
↓
⑤認証取得完了

⇒取得までの取り組み・流れについて、もっと詳しく知りたい方はこちら
http://ninsho-partner.com/knowledge/isms-merit-demirit/

８．ISMS（ISO27001）を取得するための費用

次に、費用について見ていきましょう。

自社のリソースのみで取得する場合は、
審査費用のみ必要です。
（担当者の人件費は追加になるかもしれませんが）

コンサル会社のサポートを利用する場合は、
審査費用＋コンサルティング費用の合計金額が必要になってきます。

審査費用ですが、申し込む審査機関によって値段が異なります。
また、従業員人数、拠点数、業種によっても値段が変わりますので、複数の審査機関に見積りをとって比較してみるのがおすすめです。

コンサルティング費用ですが、弊社スリーエーコンサルティングの場合は月額４万円～でサポートしています。

審査費用・コンサルティング費用の具体的な金額が知りたい方は是非お見積り依頼してください。

ちなみに、「ISMS（ISO27001）取得しようと思ったら、なにかしらシステムを導入したり設備を入れたりしなきゃいけないんでしょう？」というご質問をよくいただくのですが、必要ないケースがほとんどです。

ISMS（ISO27001）を取得するからといって、高価なサーバや最新の入退管理設備を導入する必要はありません。
システム導入を強いるコンサル会社もあるようなので、ご注意ください。

こちらの記事で、取得の費用についてさらに詳しく解説しております。
http://ninsho-partner.com/feature/isms_shinki-shutoku-hiyou/

９．ISMS（ISO27001）の審査

ISMS（ISO27001）を認証取得するためには、２回に渡る審査を受け、合格しなければなりません。
一段階審査では、文書や記録を中心に、二段階審査では、文書だけでなく実際の業務を見ながらPDCAサイクルの計画から改善まで全てが審査されます。

⇒審査を突破するための詳細はこちら
http://ninsho-partner.com/knowledge/isms-shinsa/

10．ISMS（ISO27001）の有効期限

ISMS（ISO27001）の有効期限は３年です。

取得したからといって何もせず放置していると失効となってしまいます。
失効せず維持するためには毎年審査を受ける必要が出てきます。
そのための審査を維持審査と更新審査と言います。

⇒次回更新までの3年間の詳しい流れはこちら
http://ninsho-partner.com/feature/isms_koushin_iji_shins

11．ISMS（ISO27001）を取得した後の運用は

無事にISMS（ISO27001）を認証取得できたら、達成感と共にひと息つきたくなりますが、ISMSは「取得したら終わり」ではありません。
定期運用で実施すべきことが決められており、要求事項に沿って運用し、次回の審査に備えなければなりません。

⇒定期運用でやることはこちら
ISMS（ISO27001）定期運用の１年間でやること
http://ninsho-partner.com/feature/isms_teiki-unnyou/

また、ISMSの規格内容が時代の流れに合わせてアップデートされることがあります。
「規格改訂」と言い、だいたい５～10年に１度くらいの頻度で発生します。
規格改訂前と後で何が変わったのかを把握し、必要であれば自社のルール・運用を変えるなど対応が必要になってきます。

12．ISMS（ISO27001）取得企業の調べ方

「この会社ってISMS（ISO27001）取得しているのかな？調べたいな」という場合の検索方法をご紹介します。

ISMS（ISO27001）を取得した会社は名刺や会社パンフレットにISMS認証取得のロゴマークを入れているケースが多いので、名刺やパンフレットがお手元にある場合は一度見てみましょう。

そして次にチェックするべきは、その企業のサイトやホームページです。
取得している場合は、ホームページの
・トップページ
・会社概要
・セキュリティ方針、セキュリティポリシー
に取得の旨を掲載されている企業が多いです。

また、情報マネジメントシステム認定センター（ISMS-AC）のwebサイトでISMS（ISO27001）取得企業の検索ができます。
⇒https://isms.jp/lst/ind/index.html

見てもらうとわかる通り、登録している企業数と情報公開している企業数に差異があります。つまり、ここに掲載されていないからと言って必ずISMS（ISO27001）を取得していない、というわけではありません。参考程度に見てみてください。

まとめ

ISMS（ISO27001）とはどういったものか紹介いたしましたがご理解いただけましたでしょうか。

ISMSとは「組織の情報を守るためのマネジメントシステム」のことです。

ISO27001とは「組織内の情報を守り有効活用するための情報セキュリティマネジメントシステム（ISMS）に関するISOの規格」です。

初めてISMS（ISO27001）について調べる方は分からないことがたくさんあると思います。取得や運用についてご不明点やご相談がございましたらお気軽にお問い合わせください。