ISMS審査合格率100%

0120-068-268
お電話受付:平日9:30〜18:30

ISMS(ISO27001)認証お役立ちコラム

ISMS(ISO27001)認証について徹底解説

スタッフ写真
スタッフ写真

2023年3月17日

ISMS(ISO27001)認証について徹底解説

ISMS認証(ISO27001)は、大切な情報が漏れたり外部から侵されないように「情報セキュリティの仕組みが整っているか」を審査され、合格したら付与される認証です。
ISMS認証を取得するには、情報セキュリティの3要素である機密性・完全性・可用性の理解が重要です。

1.そもそもISMSとは?

ISMSとは、情報セキュリティマネジメントシステム(Information Security Management System)を略して呼びやすくしたもので、組織の情報を守るためのシステム・仕組みのことです。

「アイエスエムエス」と読みます。

ISMS認証の目的は、大切な情報が漏れたり外部から侵されないよう、安心・安全なビジネス環境を整えることです。情報を守る仕組みが「一定以上の基準である」と第三者から評価された企業に発行される認証です。

 

(1)ISMSISO27001の違い

ISMSは、「企業・組織の情報を守るためのシステム・仕組み」そのものを指します。

一方、ISO27001とは、ISO規格のひとつで、「どのようにISMSを構築し運用するかを定めた国際規格」のことです。組織がISMS(=情報セキュリティマネジメントシステム)を確立し、実施し、維持し、継続的に改善していくための要求事項を提供するために作成されたのがISO27001です。

ただ、ISO27001のことを「ISMS」と呼ぶ人も多く、ISO27001ISMSはほとんど同じ意味として使われています。

 

(2)ISMSISO27001)とプライバシーマーク(Pマーク)の違いとは?

ISMS(ISO27001)と同じように、情報を保護する認証として、プライバシーマーク(Pマーク)があります。

対象が個人情報のみ、日本国内のみのプライバシーマークに対して、ISMSはすべての情報資産を対象とし、さらに世界で通用する国際的な規格です。

「ISMSとプライバシーマーク、どっちを取得すべきですか?」というご相談をよく受けますが、ISMSとプライバシーマークに優劣はありません。

ただ、さまざまなポイントで違いがあります。違いを理解して、どちらが自社に合っているか判断しましょう。

ISMS(ISO27001)とプライバシーマーク(Pマーク)の比較表

PマークとISO27001、どちらの取得が自社の目的に合っているか判断できない場合は、他社の事例を多く知っている専門コンサルに相談してみましょう。

ダウンロード資料プライバシーマークとISMSの違いを徹底解説ガイド
ダウンロード資料プライバシーマークとISMSの違いを徹底解説ガイド

 

(3)ISMS適合性評価制度とは

ISMS適合性評価制度とは、「組織の情報を守るための仕組みを持っている組織であること」を第三者(=審査機関)に認めてもらう制度です。

この第三者とは、決められたルールに基づいて審査を実施している審査機関(認証機関)のことです。

つまり、審査機関による審査を受け、情報セキュリティに関するマネジメントシステムを構築・運用できていることを認められることで、ISMS(ISO27001)認証を取得できるのです。

こちらの記事でも詳しく説明しております。

ISMS(ISO27001)とは?概要を分かりやすく説明

 

2.情報セキュリティの3条件「機密性」「完全性」「可用性」

情報セキュリティの3要素は、「機密性」「完全性」「可用性」です。

「機密性」は情報にアクセスできる制限を行うこと。

 「完全性」は情報の改ざん等を防止すること。

 「可用性」は情報を使いたいときに使える状態にすることです。

ISMSを構築・運用していくには「機密性」「完全性」「可用性」の側面からリスクを認識し、対応していくことが重要です。

機密性・完全性・可用性を徹底解説!実例から考え方を学ぶ【入門】

 

3.今ISMS認証を取得すべき理由

近年ISMS認証が増加している理由は以下の3つと考えられます。

 

(1)テレワーク導入企業の増加

働き方も多様になり、場所を問わず働ける環境が増えています。効率が上がるということはその分そこには、リスクも存在します。オフィスだけではなく、自宅やカフェなど働く場所が増えたことにより、そこへのリスク対応が求められています。

 

(2)大手企業からのセキュリティ調査の増加

働き方の多様性や、どの企業でもクラウドサービスの利用が当たり前になるなど、考慮すべきセキュリティの側面が増加しています。

大手企業は、自社の業務内容や情報を取引先や下請けに渡す場合、きちんとその会社を選んだ根拠が必要になります。そのため、セキュリティがきちんと整っているかを取引前に調査しエビデンスを残します。ISMSを取得していればその調査票内容を網羅していると判断することも可能になります。

 

(3)年々多岐にわたる漏えいリスク

企業ごと、業種ごとに情報セキュリティのリスクも異なります。

また、自社内だけではなく外部からの攻撃など幅広く自社の状況を認識し、対策をとっていく必要があるのです。

プロのコンサルタントがお悩みをお伺いします。
お気軽にご相談ください。

4.ISMS 認証のメリット・デメリット

ISMS(ISO27001)認証を取得するメリット・デメリットを下記に3つずつまとめました。

■メリット

  1. 組織のシステムが確立しやすくなる
  2. 責任と権限が明確になる
  3. 他社から信頼を得やすくなる

■デメリット

  1. ISMSを運用する手間が増える
  2. 社内のセキュリティに関する手順が増える
  3. 審査費用が発生する

代表的なものをまとめて紹介させていただきましたが、組織によって課題となるものは変わってくるかと思います。

手間を減らす方法、審査費用を減らす方法など、様々な解決手段があります。

こちらの記事でも詳しく説明しております。

ISMS(ISO27001)の必要性は?取得のメリット・デメリットを紹介

 

5.ISMS認証を取得している企業の特徴

ISMS認証を取得している企業にはどんな共通点があるのでしょうか。

以下3点が考えられます。

  1. B to C取引ではなく B to Bで取引を行っている企業
  2. IT業界や、システム開発、情報通信業など個人情報の取り扱い量は少ないが、取り扱う情報量が多くセキュリティに配慮しないといけない業界
  3. 大手企業等で組織の情報セキュリティ管理体制を強化したい企業

 

6.認証費用の相場

審査費用は審査機関によって異なります。

また、従業員人数、拠点数、業種によっても異なるため、一概に「相場」と言っても難しいのですが、おおよその平均が下記の表になります。

あくまでも概算ですので、参考程度にご覧ください。

審査費用(※概算)

従業員数審査費用
1~10名535,000円
11~25名640,000円
26~45名880,000円
46~65名1,020,000円
66~85名1,090,000円
86~125名1,240,000円

※審査費用の平均のため、この金額と大きく異なる場合もあります。ここでいう審査費用とは、一次審査(文書審査)+二次審査(現地審査)+ISO登録料の合計を指します。審査員の交通費・宿泊費は含まれておりません。

ISMS(ISO27001)新規取得費用いくら見ればいいの?

 

7.認証証明書・マーク(ロゴ)使い方

認証の証明書は不正利用されないようHPには掲載しないほうがよいです。

ですが、「認証をしている」という証明ですので、どこかに掲示したい場合は会社のエントランスや応接室の壁に掲示している方が多いです。

ロゴマークについては、幅広く使用ができます。HP、名刺、会社パンフレットに掲載される方が多いです。

 

8.認証範囲の決め方

会社全体での取得ももちろん可能ですが、

「〇〇部門だけで取得」

「本社だけで取得」

「〇〇工場だけで取得」

などと、部署や拠点で範囲を設定してISMSを取得することも可能です。

認証範囲が広くなれば当然、人数も拠点数も増加するので運用工数や審査費用が上がります。

可能な限り認証範囲は狭く実施するのが望ましいです。

全社で取得するべきか、範囲を限定するかは、「なぜISMS認証を取得するのか?」の目的が重要となります。

入札であれば対象の拠点を含む必要があります。顧客要求であれば、ISMS取得していることが必要なのか、会社全体でセキュリティ対応に取り組んでいる必要があるのかを確認しないといけません。

 

9.ISMS 認証を取得する流れ

ISMS取得の流れは、下記7ステップで考えるとよいでしょう。

①取得までの計画を立てる

②情報セキュリティマネジメントシステムを構築する

③ISO27001を運用する

④社内チェック(内部監査)とトップへの報告(マネジメントレビュー)

⑤審査を受ける(一次審査)

⑥審査を受ける(二次審査)

⑦認証取得完了

取得の流れ、スケジュールについての詳細はこちらの記事もご覧ください。

ISMS取得スケジュールを7つのステップで解説

認証範囲や取得にかけられる人員、コストにもよりますが、まずはスケジュールを具体的にして計画を立ててみましょう。

10まとめ

ISMS認証(ISO27001)は、大切な情報が漏れたり外部から侵されないように「情報セキュリティの仕組みが整っているか」を審査機関によって審査され、付与される認証です。

取得する目的をはっきりさせ、メリットとデメリットを考慮した上で計画を立てましょう。また、第三者である審査機関が審査して付与するものなので、審査機関についての知識も必要となってきます。

全てを担当者1人で調べ、勉強し、実際に運用をするには非常に時間もお金も工数もかかります。

お悩みがあれば、まずは無料でご相談も可能ですので、お気軽にお問い合わせください。

プロのコンサルタントがお悩みをお伺いします。
お気軽にご相談ください。

ISO・Pマーク(プライバシーマーク)に関することなら
何でもお気軽にご相談ください

認証パートナーロゴ

0120-068-268
お電話受付:平日9:30〜18:30

5営業日以内にお届け!

新規取得・運用別に
役立つ資料をお届けします

新規認証や運用・更新にあたって当社が何を請け負うか、
わかりやすい資料でご検討の参考にしてください。

役立つ資料をお届け

ISMS(ISO27001)認証パートナー
サービスのご案内

認証パートナーロゴ

認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。