2024年2月16日
ISMS-ACとは?JIPDECとの違いも解説します
ISMS-ACはISMS(ISO27001)の認定機関です。ISMS(ISO27001)の審査を受けた組織を認定する役割があります。
一方、JIPDECはPマーク(プライバシーマーク)の認定機関であり、審査機関でもあります。Pマーク(プライバシーマーク)審査の実施、Pマーク審査を受けた組織を認定する役割があります。
2024年9月24日
ISMS認証は、組織が情報セキュリティを適切に管理し、維持していることを評価し、認証する制度です。2024年9月現在、8000近い組織がISMS認証を取得しています。ISMS認証の取得により、情報資産の保護、信頼性、法令遵守を確保していることが証明されます。ISMS認証の取得には、情報セキュリティの3要素である機密性・完全性・可用性を理解しましょう。
目次
ISMS(ISO27001)認証は、組織が情報セキュリティを適切に管理し、維持し続けていることを評価・認証する制度です。
ISMS(Information Security Management System)とは、情報セキュリティマネジメントシステムの略称で、組織が情報セキュリティを管理・運用するための枠組みやプロセスのことです。
情報技術の急速な発展とともに情報漏洩やサイバー攻撃が増加し、組織の情報資産の保護が急務となったことからISO27001が策定され、ISMS認証制度が普及していきました。
認証を取得することで、組織が情報資産を保護し、セキュリティに対する信頼性と法令遵守を確保していることが証明されます。
ISMS認証においては、機密性・完全性・可用性という情報セキュリティの三つの重要な要素を維持することが求められます。これらの要素をどのように適切に管理し、保護するかが、認証取得のための重要なポイントとなります。
これらの3要素はまとめて「CIA(シーアイエー)」と呼ばれることもあります。
機密性とは、情報が許可された者だけがアクセスできる状態を保つことを指します。
このため、アクセス制御や暗号化技術などが活用され、機密情報が漏洩するリスクを最小限に抑えることが求められます。
完全性とは、情報が正確に維持され、他者による不正な改ざんや破壊から守られていることを意味します。
情報の変更履歴を追跡する仕組みや、データバックアップ、定期的な監査が完全性維持のために重要です。
可用性とは、許可されたユーザーが必要なときに情報やシステムにアクセスできることを保証することを指します。
冗長設計、サーバーの負荷分散、バックアップ電源などの措置が可用性向上のために役立ちます。
これらの要素を保全し、さらに向上させるための取り組みや、情報セキュリティリスク管理を持続的に行うことが、情報資産やシステムを適切に保護するため、そしてISMS認証を取得し維持するためには不可欠となります。
マネジメントシステムは、組織を特定の目標に向かって効果的に指導・管理するための仕組みです。
情報セキュリティにおいては、情報資産を適切に管理し、機密性・完全性・可用性を確保するための組織のルールや体制、そしてその効果を改善する仕組みとなります。
例えば、情報漏洩を防ぐためには、内部からの情報漏洩を防止するための方針を立てます。不正な操作を抑止するためには、操作ログ管理ソフトを導入し、情報漏洩時には追跡を行うことで効果を検討します。
しかし、取り決めたルールが競合し、現場の状況と乖離することが起こり得ます。このような問題を避けるためには、まとまりのあるルールを制定・運用していくことが求められます。PDCAサイクルに沿って組織の課題の特定から対策検討、ルール化・運用といったことを行っていきます。
ISMS(情報セキュリティマネジメントシステム)認証を取得すべき理由はいくつかあります。
まず第一に、情報セキュリティに対する信頼性を高めることができます。
ISMS認証を取得することで、組織が情報セキュリティに真剣に取り組んでいることを外部の利害関係者に示すことができます。
また、ISMS認証を取得することで、情報セキュリティに関する法的要件や規制に適合することができます。多くの業界や国で、情報セキュリティに関する法的要件や規制がありますが、ISMS認証を取得することでこれらに適合することができます。
さらに、ISMS認証を取得することで、情報セキュリティに関するリスクを管理し、軽減することができます。組織が情報セキュリティに関するリスクを適切に管理することで、情報漏洩やセキュリティ侵害などのリスクを最小限に抑えることができます。
これらの理由から、組織が情報セキュリティを重視し、信頼性を高め、法的要件や規制に適合し、リスクを管理するためには、ISMS認証を取得することが重要です。
ISMSの規格として、ISO(国際標準化機構)とIEC(国際電気標準化機構)が共同で策定したISO/IEC 27001と、これをJIS(日本工業規格)が日本語訳したJIS Q 27001が存在します。両者の内容は同じと考えて差し支えありません。
ISO27001は正確には「ISO/IEC 27001 情報技術-セキュリティ技術-情報セキュリティマネジメントシステム-要求事項(ISO/IEC 27001 Information technology -Security techniques-Information security management systems-Requirements)」と呼ばれ、組織がISMSを構築するための要求事項をまとめた国際規格です。
ISO27001およびJIS Q 27001は、それぞれ本文と附属書Aに分かれています。本文にはISMS構築のために実施しなければならない要求事項が記載されており、附属書Aには要求事項に対応するための管理策が93項目挙げられています。
管理策については、組織によって対応する・しないの選択が可能ですが、対応しない場合には適用宣言書に理由を記載する必要があります。
ISMS認証制度は、組織が情報セキュリティマネジメントシステム(ISMS)を構築し、それが国際標準であるISO27001(JISQ27001)に適合しているかを評価する仕組みです。
この制度においては、以下のような役割が存在します。
このシステムにより、組織は信頼性のある第三者機関からISMS認証を受けることができ、情報セキュリティ管理が適切に行われていることを明らかにすることができます。
この仕組みのことを「ISMS適合性評価制度」と言います。
ISMS適合性評価制度についてはこちらの記事を参照してください。
ISMS認証の審査基準は、ISO27001に基づいています。
審査では、組織の情報セキュリティマネジメントシステム(ISMS)が、これらの標準に適合しているかどうかを評価します。
審査を受けるには運用記録が必要です。
維持審査は1年分、更新審査は3年間分です。
運用記録には情報リスクアセスメント表やリスク対応などがあります。
審査の詳細についてはこちらの記事を参照してください。
ISMS認証の審査基準は、規格要求を満たしているかどうかを基準に審査されます。
簡単に説明すると、ISMSの規格は全世界で共通の規格がありますが、大手企業と中小企業ではやり方や管理方法に違いが出てくる場合があります。会社のルールを作成し、そのルールが共通の規格要求を満たすことができ、そしてそのルールに従って業務が遂行されているかが審査のポイントとなります。
ISMSの審査にはいくつかの種類があります。
まず、新規認証時の審査では一次審査と二次審査があります。ただし、呼び方は審査機関によって異なる場合があります。
審査内容としては、ISMSの認証が適切かどうかを確認するものです。
一次審査では、文書や帳票類のチェックを中心とした審査が行われ、上記で説明した規格要求を満たした会社のルールが適切に作成されているかが確認されます。
二次審査では、作成したルールが実際に機能しているかが確認されます。ルールがあっても現場で実施されていなければ意味がありません。
審査の日数などは会社の規模によって異なります。一次審査と二次審査の間には通常、約1か月の期間が設けられます。
次に、認証完了後の翌年からの審査についてです。維持審査と更新審査の2種類があります。
まず、維持審査です。前回の審査からの運用状況を確認する審査です。
維持審査の目的は、ルールがくずれていないか、現場で引き続きルール通りに仕事ができているかを確認することです。
イメージとしては定期的な確認に近いため、審査工数(審査員の工数)は、新規認証時よりも少ないことが多いです。
最後に更新審査があります。3年に1回更新があります。
3年間分の運用状況を確認する審査です。そのため、維持審査分の確認も改めて実施します。
更新審査の目的は、ISO認証の更新に問題はないかを確認し、3年単位での運用を確認することです。
3年間が範囲の為、維持審査より審査工数は多いです。
認証取得までの期間は企業によって大きく異なりますが、一般的には半年から1年程度かかることが多いです。
ISMSを取得するためには、まず認証範囲を決めることから始めます。
認証範囲とは、ISMSを適用する範囲のことです。ISMSは全社単位だけでなく、部署ごとに取得することも可能です。
例えば、新規事業を始める際に、その新規事業だけでISMSを顧客から求められた場合、その部署だけで取得することができます。認証範囲を決めた後は、社内の体制を整備し、準備を進めます。
そして、審査を受け、合格すれば認証を取得することができます。
ISMS認証取得までのプロセスは、大きく4つのステップに分けることができます。
この(1)~(4)のステップを経てISMS認証完了です。
取得までの対応事項についてはこちらの記事を参照してください。
これらのメリット・デメリットを考慮し、組織のニーズやリソースに応じて、ISMS認証取得の是非を検討することが重要です。
ISMS取得の必要性について迷っている企業様はこちらの記事も参照してください。
ISMS認証を取得している企業には、以下のような共通点が考えられます。
ISMSは、情報セキュリティマネジメントシステムを指し、組織における情報セキュリティを維持・向上させるためのシステム全体を意味します。
一方、ISO 27001は、国際規格であり、ISMSの設計、実装、運用、監視、維持、そして継続的な改善に関する要件を定めたものです。
つまり、ISMSは情報セキュリティ管理のシステムそのものであり、ISO 27001はそのシステムを構築・維持するための国際規格です。
ISMS認証は、組織が情報セキュリティ管理に対する国際的な基準であるISO 27001に適合していることを示すものです。
プライバシーマークとISMS(ISO27001)では、保護する対象が異なります。
プライバシーマーク(Pマーク)は個人情報を対象とし、ISMS(ISO27001)は情報資産全体を対象とします。比較すると、ISMS(ISO27001)の方が保護対象の範囲が広く、マネジメントシステムの構築に時間を要することが多いです。
また、プライバシーマーク(Pマーク)は日本国内でのみ通用する規格です。
一方、ISMS(ISO27001)は国際標準規格ISO27001に基づいて運用されるため、国際的な認証と言えます。国際基準での情報セキュリティが認証されるため、国際的な取引が必要な企業はISMS(ISO27001)を取得するケースが多いです。
ISMSとPマークの比較について詳細はこちらの記事を参照してください。
また、ISMSを取得する際にコンサルティング会社のサポートを受ける場合、コンサルティング費用として年間数十万円から数百万円かかります。
具体的な費用については、認証機関やコンサルティング会社に問い合わせることが望ましいです。
審査費用に関する詳細はこちらの記事を参照してください。
ISMS認証は、情報セキュリティ管理の評価・認証制度であり、組織に多くのメリットをもたらします。
具体的には、業務品質の向上、取引先や顧客からの信頼性の向上、そして情報漏洩リスクの軽減が挙げられます。これにより、新たなビジネスチャンスが生まれることも期待できます。
認証範囲の決定は、組織の実情と関係者の意見を十分に考慮し、適切な範囲を設定することが重要です。
これにより、効果的な情報セキュリティ管理体制を構築し、維持することが可能となります。ISMS認証の取得は、組織全体のセキュリティ意識を高め、持続的な改善を促進するための重要なステップです。
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!
お問合せは
こちらから
全国どこでもオンラインで対応!
気軽にご相談ください!
相談予約は
こちらから
8,000社以上の支援実績に裏付けされた、
弊社サービスの概要を紹介しております。
資料の内容
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。
ISO27017やISO22000など各種規格もお得に 新規取得や運用・更新ができます。ご気軽にお見積りください。
ISOやプライバシーマークを同時に認証取得すると費用や工数を抑えることができます。安心してご相談ください