１．ISMS(ISO27001)認証とは

ISMS（ISO27001）認証は、組織が情報セキュリティを適切に管理し、維持し続けていることを評価・認証する制度です。

ISMS（Information Security Management System）とは、情報セキュリティマネジメントシステムの略称で、組織が情報セキュリティを管理・運用するための枠組みやプロセスのことです。

情報技術の急速な発展とともに情報漏洩やサイバー攻撃が増加し、組織の情報資産の保護が急務となったことからISO27001が策定され、ISMS認証制度が普及していきました。
認証を取得することで、組織が情報資産を保護し、セキュリティに対する信頼性と法令遵守を確保していることが証明されます。

ISMS認証においては、機密性・完全性・可用性という情報セキュリティの三つの重要な要素を維持することが求められます。これらの要素をどのように適切に管理し、保護するかが、認証取得のための重要なポイントとなります。

２．ISMS認証の情報セキュリティとは？

これらの3要素はまとめて「CIA（シーアイエー）」と呼ばれることもあります。

(1)機密性(Confidentiality)

機密性とは、情報が許可された者だけがアクセスできる状態を保つことを指します。
このため、アクセス制御や暗号化技術などが活用され、機密情報が漏洩するリスクを最小限に抑えることが求められます。

(2)完全性(Integrity)

完全性とは、情報が正確に維持され、他者による不正な改ざんや破壊から守られていることを意味します。
情報の変更履歴を追跡する仕組みや、データバックアップ、定期的な監査が完全性維持のために重要です。

(3)可用性(Availability)

可用性とは、許可されたユーザーが必要なときに情報やシステムにアクセスできることを保証することを指します。
冗長設計、サーバーの負荷分散、バックアップ電源などの措置が可用性向上のために役立ちます。

これらの要素を保全し、さらに向上させるための取り組みや、情報セキュリティリスク管理を持続的に行うことが、情報資産やシステムを適切に保護するため、そしてISMS認証を取得し維持するためには不可欠となります。

３．ISMS認証のマネジメントシステムとは？

マネジメントシステムは、組織を特定の目標に向かって効果的に指導・管理するための仕組みです。
情報セキュリティにおいては、情報資産を適切に管理し、機密性・完全性・可用性を確保するための組織のルールや体制、そしてその効果を改善する仕組みとなります。

例えば、情報漏洩を防ぐためには、内部からの情報漏洩を防止するための方針を立てます。不正な操作を抑止するためには、操作ログ管理ソフトを導入し、情報漏洩時には追跡を行うことで効果を検討します。

しかし、取り決めたルールが競合し、現場の状況と乖離することが起こり得ます。このような問題を避けるためには、まとまりのあるルールを制定・運用していくことが求められます。PDCAサイクルに沿って組織の課題の特定から対策検討、ルール化・運用といったことを行っていきます。

４．ISMS認証を取得すべき理由

ISMS（情報セキュリティマネジメントシステム）認証を取得すべき理由はいくつかあります。

まず第一に、情報セキュリティに対する信頼性を高めることができます。

ISMS認証を取得することで、組織が情報セキュリティに真剣に取り組んでいることを外部の利害関係者に示すことができます。

また、ISMS認証を取得することで、情報セキュリティに関する法的要件や規制に適合することができます。多くの業界や国で、情報セキュリティに関する法的要件や規制がありますが、ISMS認証を取得することでこれらに適合することができます。

さらに、ISMS認証を取得することで、情報セキュリティに関するリスクを管理し、軽減することができます。組織が情報セキュリティに関するリスクを適切に管理することで、情報漏洩やセキュリティ侵害などのリスクを最小限に抑えることができます。

これらの理由から、組織が情報セキュリティを重視し、信頼性を高め、法的要件や規制に適合し、リスクを管理するためには、ISMS認証を取得することが重要です。

５．ISMSに関する規格について

ISMSの規格として、ISO（国際標準化機構）とIEC（国際電気標準化機構）が共同で策定したISO/IEC 27001と、これをJIS（日本工業規格）が日本語訳したJIS Q 27001が存在します。両者の内容は同じと考えて差し支えありません。

ISO27001は正確には「ISO/IEC 27001 情報技術－セキュリティ技術－情報セキュリティマネジメントシステム－要求事項（ISO/IEC 27001 Information technology －Security techniques－Information security management systems－Requirements）」と呼ばれ、組織がISMSを構築するための要求事項をまとめた国際規格です。

ISO27001およびJIS Q 27001は、それぞれ本文と附属書Aに分かれています。本文にはISMS構築のために実施しなければならない要求事項が記載されており、附属書Aには要求事項に対応するための管理策が93項目挙げられています。

管理策については、組織によって対応する・しないの選択が可能ですが、対応しない場合には適用宣言書に理由を記載する必要があります。

６．ISMS認証制度のしくみ

ISMS認証制度は、組織が情報セキュリティマネジメントシステム（ISMS）を構築し、それが国際標準であるISO27001（JISQ27001）に適合しているかを評価する仕組みです。

この制度においては、以下のような役割が存在します。

• 認定機関　　：認証機関や要員研修機関を審査し、一定の基準を満たしているかを評価・管理する
• 認証機関　　：組織のISMSを審査し、ISO27001に適合しているかを判断し、ISMS認証を付与する
• 要員研修機関：審査員に対し、ISMS審査に関する研修を行う
• 審査員　　　：認証機関から第三者として組織のシステムやプロセスを審査する

このシステムにより、組織は信頼性のある第三者機関からISMS認証を受けることができ、情報セキュリティ管理が適切に行われていることを明らかにすることができます。
この仕組みのことを「ISMS適合性評価制度」と言います。

ISMS適合性評価制度についてはこちらの記事を参照してください。

あわせて読みたい記事

ISMS適合性評価制度とは？概要をわかりやすく解説

１．ISMS適合性評価制度とは ISMS適合性評価制度とは、組織が情報を適切に管理し、その機密性、完全性、可用性を保証するための体制が整っていることを証明する制度です。 この制度に適合すると、ISMS…

７．ISMS認証の審査

ISMS認証の審査基準は、ISO27001に基づいています。

審査では、組織の情報セキュリティマネジメントシステム（ISMS）が、これらの標準に適合しているかどうかを評価します。
審査を受けるには運用記録が必要です。

維持審査は1年分、更新審査は３年間分です。
運用記録には情報リスクアセスメント表やリスク対応などがあります。

審査の詳細についてはこちらの記事を参照してください。

あわせて読みたい記事

ISMSの審査は難しい？流れ、準備物、注意するポイントを解説

１．ISMS審査の概要 ISMSの審査は大まかに5つのステップで進みます。 （１）申請 新規取得する場合や、これまでと異なる認証機関で受審する場合は申請が必要です。 申請方法や申請時の準備物は認証機関…

(1)審査基順

ISMS認証の審査基準は、規格要求を満たしているかどうかを基準に審査されます。

簡単に説明すると、ISMSの規格は全世界で共通の規格がありますが、大手企業と中小企業ではやり方や管理方法に違いが出てくる場合があります。会社のルールを作成し、そのルールが共通の規格要求を満たすことができ、そしてそのルールに従って業務が遂行されているかが審査のポイントとなります。

(2)審査の種類　（新規認証・維持審査・更新審査）

【新規認証】

ISMSの審査にはいくつかの種類があります。

まず、新規認証時の審査では一次審査と二次審査があります。ただし、呼び方は審査機関によって異なる場合があります。

審査内容としては、ISMSの認証が適切かどうかを確認するものです。

一次審査では、文書や帳票類のチェックを中心とした審査が行われ、上記で説明した規格要求を満たした会社のルールが適切に作成されているかが確認されます。

二次審査では、作成したルールが実際に機能しているかが確認されます。ルールがあっても現場で実施されていなければ意味がありません。

審査の日数などは会社の規模によって異なります。一次審査と二次審査の間には通常、約1か月の期間が設けられます。

次に、認証完了後の翌年からの審査についてです。維持審査と更新審査の2種類があります。

【維持審査】

まず、維持審査です。前回の審査からの運用状況を確認する審査です。

維持審査の目的は、ルールがくずれていないか、現場で引き続きルール通りに仕事ができているかを確認することです。

イメージとしては定期的な確認に近いため、審査工数（審査員の工数）は、新規認証時よりも少ないことが多いです。

【更新審査】

最後に更新審査があります。3年に1回更新があります。

3年間分の運用状況を確認する審査です。そのため、維持審査分の確認も改めて実施します。

更新審査の目的は、ISO認証の更新に問題はないかを確認し、3年単位での運用を確認することです。

3年間が範囲の為、維持審査より審査工数は多いです。

８．ISMS認証を取得する流れ

認証取得までの期間は企業によって大きく異なりますが、一般的には半年から1年程度かかることが多いです。

ISMSを取得するためには、まず認証範囲を決めることから始めます。
認証範囲とは、ISMSを適用する範囲のことです。ISMSは全社単位だけでなく、部署ごとに取得することも可能です。

例えば、新規事業を始める際に、その新規事業だけでISMSを顧客から求められた場合、その部署だけで取得することができます。認証範囲を決めた後は、社内の体制を整備し、準備を進めます。
そして、審査を受け、合格すれば認証を取得することができます。

ISMS認証取得までのプロセスは、大きく4つのステップに分けることができます。

1. 認定範囲を決定する。
2. ISMSの運用ルールや手続きを整備し、社内の情報セキュリティ対策を強化する。
3. 第三者機関による審査を受け、結果に基づいて改善事項があれば対応する。
4. 審査に合格し、認証登録される。

この(1)～(4)のステップを経てISMS認証完了です。

取得までの対応事項についてはこちらの記事を参照してください。

あわせて読みたい記事

ISMS取得の流れガイド｜審査の内容やPマークとの違いも解説

１．ISMSとは [images_50][/images_50] ISMS（ISO27001）とは、「情報セキュリティマネジメントシステム」を指します。 簡単にまとめると、企業・組織として情報を管理し…

９．ISMS認証のメリット・デメリット

(1)メリット

• 業務品質の向上：ISMS認証を取得することで、情報セキュリティ管理体制が整備され、組織全体の業務品質が向上します。
• 信頼性の向上：認証取得により、取引先や顧客からの信頼性が向上し、新たなビジネスチャンスに繋がることが期待できます。
• 情報漏洩リスクの軽減：定期的な審査や遵守項目の徹底により、情報漏洩のリスクが軽減されます。
• 大手企業からのセキュリティ調査への対応力向上：ISMS認証を取得していることで、大手企業からのセキュリティ調査に対しても適切に対応することが可能となります。
• テレワーク導入企業の増加に対応：最近増加しているテレワークやリモートワークにおいても、適切な情報セキュリティ管理を実現できます。

(2)デメリット

• コストと時間の負担：ISMS認証の取得には、審査費用や維持費用、社内での対応に要する人的リソースが必要です。
• 過剰なセキュリティ対策：認証取得を目指すあまり、過剰なセキュリティ対策がとられる場合があり、業務効率が低下する可能性もあります。

これらのメリット・デメリットを考慮し、組織のニーズやリソースに応じて、ISMS認証取得の是非を検討することが重要です。

ISMS取得の必要性について迷っている企業様はこちらの記事も参照してください。

あわせて読みたい記事

ISMS(ISO27001)の必要性は？取得のメリット・デメリットを紹介

１．こういう時にはISMS（ISO27001）認証取得を ISMSの認証取得企業数は、毎年増え続けています。 ただ、ISMSの認証件数は増加していると言っても、他の企業・組織がどんな理由で取得している…

１０．ISMS認証を取得している企業の特徴

ISMS認証を取得している企業には、以下のような共通点が考えられます。

1. B to C取引ではなく、B to Bで取引を行っている企業
2. IT業界やシステム開発、情報通信業など、個人情報の取り扱い量は少ないが、取り扱う情報量が多く、セキュリティに配慮しなければならない業界
3. 大手企業などで、組織の情報セキュリティ管理体制を強化したい企業

１１．ISO27001、Pマークとの違い

(1)ISMSとISO27001の違い

ISMSは、情報セキュリティマネジメントシステムを指し、組織における情報セキュリティを維持・向上させるためのシステム全体を意味します。

一方、ISO 27001は、国際規格であり、ISMSの設計、実装、運用、監視、維持、そして継続的な改善に関する要件を定めたものです。

つまり、ISMSは情報セキュリティ管理のシステムそのものであり、ISO 27001はそのシステムを構築・維持するための国際規格です。

ISMS認証は、組織が情報セキュリティ管理に対する国際的な基準であるISO 27001に適合していることを示すものです。

(2)ISMS（ISO27001）とプライバシーマーク（Pマーク）の違い

プライバシーマークとISMS（ISO27001）では、保護する対象が異なります。

プライバシーマーク（Pマーク）は個人情報を対象とし、ISMS（ISO27001）は情報資産全体を対象とします。比較すると、ISMS（ISO27001）の方が保護対象の範囲が広く、マネジメントシステムの構築に時間を要することが多いです。

また、プライバシーマーク（Pマーク）は日本国内でのみ通用する規格です。

一方、ISMS（ISO27001）は国際標準規格ISO27001に基づいて運用されるため、国際的な認証と言えます。国際基準での情報セキュリティが認証されるため、国際的な取引が必要な企業はISMS（ISO27001）を取得するケースが多いです。

ISMSとPマークの比較について詳細はこちらの記事を参照してください。

あわせて読みたい記事

【結論】どっちを取得するのがいい！？PマークとISMSの違いを徹底比較！

１．PマークとISMSの概要 (1) Pマーク（プライバシーマーク） 個人情報の適切な取扱いを行う事業者として認定されたら付与されるマークです。 「プライバシーマーク」が正式名称ですが、「Pマーク（ピ…

１２．認証にかかる費用の相場

• 初回認証の審査費用　：約50万～130万円
• 認証維持費用（年間）：約30万～80万円

また、ISMSを取得する際にコンサルティング会社のサポートを受ける場合、コンサルティング費用として年間数十万円から数百万円かかります。

具体的な費用については、認証機関やコンサルティング会社に問い合わせることが望ましいです。

審査費用に関する詳細はこちらの記事を参照してください。

あわせて読みたい記事

【2024年最新】ISMS新規取得に必要な費用を徹底解説！予算計画のポイント

１．ISMS（ISO27001）新規取得費用とは ISMS（ISO27001）新規取得費用とは、ISMS（ISO27001）を取得するにあたって支払う費用の合計のことを指しています。 自社のリソースの…

まとめ

ISMS認証は、情報セキュリティ管理の評価・認証制度であり、組織に多くのメリットをもたらします。

具体的には、業務品質の向上、取引先や顧客からの信頼性の向上、そして情報漏洩リスクの軽減が挙げられます。これにより、新たなビジネスチャンスが生まれることも期待できます。

認証範囲の決定は、組織の実情と関係者の意見を十分に考慮し、適切な範囲を設定することが重要です。

これにより、効果的な情報セキュリティ管理体制を構築し、維持することが可能となります。ISMS認証の取得は、組織全体のセキュリティ意識を高め、持続的な改善を促進するための重要なステップです。

ISO・Pマーク認証更新でお悩みの方へ

認証パートナーは、8000社を超える企業様に認証率100%で支援してきた実績と経験豊富なコンサルタントの知見を活かし、お客様の目標達成を全力でサポートいたします。
アドバイスや取り次ぎだけでなく、書類作成や監督に向けての準備、年々変化するルールへの対応まで、お客様のパートナーとして共に歩んでまいります。
認証取得したいけれど、何をすれば良いか分からない方も、まずはお気軽にご相談ください。

• 無料相談はこちら▶️
• 見積もり依頼はこちら▶️