ISMS審査合格率100%

0120-068-268
お電話受付:平日9:30〜18:30

ISMS(ISO27001)認証お役立ちコラム

ISMS(ISO27001)認証について徹底解説

2022年8月24日

ISMS(ISO27001)認証について徹底解説

ISO27001(ISMS)とは、情報セキュリティに関する第三者認証です。
ISMS(ISO27001)を認証取得することで、「情報セキュリティの仕組みを構築し運用できていますよ」とアピールすることができます。
ISMS(ISO27001)認証について、そのメリットや取得スケジュール、おさえるべきポイントを紹介していきます。

1.ISMS(情報セキュリティマネジメントシステム)とは?

そもそも、情報セキュリティとは、
インターネットにつないだパソコンや取り扱う情報を安全に扱えるよう、必要な対策を施すこと を言います。

そして、ISMSとは、情報セキュリティマネジメントシステム(Information Security Management System)を略して呼びやすくしたもので、企業・組織の情報を守るためのシステム・仕組みのことです。
「アイエスエムエス」と読みます。

(1)ISMS認証とISO27001の違い

ISMSが企業・組織の情報を守るためのシステム・仕組みであるのに対し、
ISO27001とは、ISO規格のひとつで、どのようにISMSを構築し運用するかを定めた国際規格のことです。

組織がISMS(=情報セキュリティマネジメントシステム)を確立し、実施し、維持し、継続的に改善していくための要求事項を提供するために作成されています。
ただ、ISO27001のことを「ISMS」と呼ぶ人も多く、ISO27001とISMSはほとんど同じ意味として使われています。

(2)ISMS(ISO27001)とプライバシーマーク(Pマーク)の違いとは?

ISMS(ISO27001)と同じように、情報を保護する認証として、プライバシーマーク(Pマーク)があります。

「ISMSとプライバシーマーク、どっちを取得すべきですか?」というご相談をよく受けますが、ISMSとプライバシーマークに優劣はありません。ただ、さまざまなポイントで違いがあります。違いを理解して、どちらが御社に合っているか判断しましょう。

その違いを表にまとめました。
ISMS(ISO27001)とプライバシーマーク(Pマーク)の比較表

対象が個人情報のみ、日本国内のみのプライバシーマークに対して、ISMSはすべての情報資産を対象とし、さらに世界で通用する国際的な規格です。
随所に違いが見受けられますので、どちらが自社の目的に合っているか検討しなければなりません。他社の事例を多く知っている専門コンサルに相談するのもいいでしょう。

ダウンロード資料プライバシーマークとISMSの違いを徹底解説ガイド
ダウンロード資料プライバシーマークとISMSの違いを徹底解説ガイド

ISMSとプライバシーマークの違いについて、こちらの記事でも詳しく説明しております。
プライバシーマーク(Pマーク)とISMSの違いを徹底比較!結局どっちが良いの?

(3)ISMS適合性評価制度とは

ISMS適合性評価制度とは、
「組織の情報を守るための仕組みを持っている組織であること」を第三者(=審査機関)に認めてもらう制度です。
この第三者とは、決められたルールに基づいて審査を実施している審査機関のことです。

つまり、審査機関による審査を受け、情報セキュリティに関するマネジメントシステムを構築、運用できていることを認められることで、ISMS(ISO27001)認証を取得できるのです。
こちらの記事でも詳しく説明しております。
ISMS(ISO27001)とは?概要を分かりやすく説明

2.なぜISMS(ISO27001)認証を取得するべきなのか?取得のメリット・デメリット

ISMS(ISO27001)認証を取得するメリット・デメリットを下記に3つずつまとめてみました。

■メリット
① 組織のシステムが確立しやすくなる
② 責任と権限が明確になる
③ 他社から信頼を得やすくなる

■デメリット
① 手間が増える
② 手順が増える
③ 審査費用が発生する

代表的なものをまとめて紹介させていただきましたが、組織によって課題となるものは変わってくるかと思います。
手間を減らす方法、審査費用を減らす方法様々解決する手段はございます。

こちらの記事でも詳しく説明しております。
ISMS(ISO27001)の必要性は?取得のメリット・デメリットを紹介

3.ISMSは簡単に認証できるのか?

ISMS(ISO27001)を認証取得することを、「むずかしそう」「ハードルが高い」「ルールを沢山作ったら仕事がやりにくくなるのでは?」「現場に負担がかかるのでは?」と思う人は多いでしょう。
結論から言うと、現場に負担をかけずに簡単に取得することができます。

理由は3つあります。
1つ目は、ルールの自由度です。

ISMS(ISO27001)は自由度が高いです。
ルールの項目(114項目)は決まっていますが、そのルールの基準は全て自分たちで決めることができます。そのため、自分達のできる範囲でルールを作成することができ、現場への負担を最小限にできます。

2つ目は、認証範囲が設定できることです。
ISMS(ISO27001)は対象の範囲を設定することができます。
会社全体、1社単位で取得しなければならないプライバシーマーク(Pマーク)と異なり、ISMS(ISO27001)は本社のみであったり、情報セキュリティ推進室のみなど範囲を絞ることができるので、自社の規模感に合った取得が可能です。

3つ目は、コンサルタントの存在です。
ISMS(ISO27001)の取得において、「自社のリソースだけで構築し認証取得する」という企業は今の時代ほとんど聞かなくなりました。
コンサルのサポートを利用することで、WEBサイトや書籍などで仕入れられない最新情報や知見を取り入れることができますし、時間のかかる文書や記録の作成も手伝ってもらえるケースもあります。
自社リソースのみの運用だと、どうしても固定概念があったり、ルールを何年も変えない、アップデートしない傾向になってしまいます。時代に則した柔軟な対応をするために、専門家であるコンサル会社のサポートを活用するのも有効でしょう。

プロのコンサルタントがお悩みをお伺いします。
お気軽にご相談ください。

4.ISMS認証にかかる期間

ISMSの認証を取得するにどのくらいの期間がかかるのでしょうか?

キックオフ~取得完了まで、6か月~1年程度と言われています。
認証サポートのISMS新規認証サポートを利用いただいたお客様では、6か月程度で取得まで至るケースが多いです。

「ISMSをできるだけ早く取得したい!」という方はこちらの記事もご覧ください。
ISMS(ISO27001)を最短、短期で取得するために必要なこと!事例つきで紹介

5.ISMS(ISO27001)の取得方法と取得の流れ

ISMS取得の流れは、下記7ステップで考えるとよいでしょう。

①取得までの計画を立てる

②情報セキュリティマネジメントシステムを構築する

③ISO27001を運用する

④社内チェック(内部監査)とトップへの報告(マネジメントレビュー)

⑤審査を受ける(一次審査)

⑥審査を受ける(二次審査)

⑦認証取得完了

取得の流れ、スケジュールについての詳細はこちらの記事もご覧ください。
ISMS取得スケジュールを7つのステップで解説

認証範囲やそこにかけられる人員、コストにもよりますが、まずはスケジュールを具体的にして計画を立ててみましょう。

6.ISMS認証取得にかかる費用

①審査を受けるためにかかる費用
審査機関による審査を受けるのに必要な費用は、文書審査料、実地審査料、ISO登録料があります。
また、審査員の交通費や宿泊費なども請求されます。

これら全てが支払われて登録となるため、忘れずに支払わなければなりません。

会社の規模(従業員数)、業種、適用範囲、申請する審査機関などによって金額が変動します。

②それ以外の費用
「早く取得したい」「ISMSについての知識がない」「忙しいのでISMSのために人員を割けない」などの理由で外部のサポートを利用する場合、追加のコンサルティング費用がかかってきます。
認証サポートの場合、月々4万円でISMS新規認証をお手伝いします。
サポートをご検討される際はお気軽に問い合わせ、ご相談ください。

費用についてさらに知りたい方はこちらの記事もご覧ください。
ISMS(ISO27001)新規取得費用いくら見ればいいの?

7.ISMS(ISO27001)でおさえておきたい5つのこと

ここでは全ての規格要求を解説することは割愛しますが、ISMS(ISO27001)認証に必要なポイントを5つ下記にまとめてみました。

(1)情報セキュリティ基本方針

情報セキュリティ基本方針とは、情報セキュリティマネジメントシステムの構築において、最初に定めないといけないものです。

規格要求としては下記の7項目を含んだ内容にする必要があります。

a: 組織の目的に対して適切である。
b:情報セキュリティ目的(6.2 参照)を含むか,又は情報セキュリティ目的の設定のための枠組みを示す。
c:情報セキュリティに関連する適用される要求事項を満たすことへのコミットメントを含む。
d:ISMS(ISO27001)の継続的改善へのコミットメントを含む。
情報セキュリティ方針は,次に示す事項を満たさなければならない。
e:文書化した情報として利用可能である。
f:組織内に伝達する。
g: 必要に応じて,利害関係者が入手可能である。

また、文書化されたものは組織内外に伝達するため、HPへの掲載や社内掲示をする必要があります。
情報セキュリティ目的について、もっと詳しく知りたい方はこちらで詳しく説明しております。

(2)適用範囲の決定

プライバシーマーク(Pマーク)との違いでも触れましたが、ISMSでは認証を受ける範囲を設定することができます。
どの組織、どの拠点、どの事業と細かく設定することが可能です。
もちろん全社で取得することも可能です。

適用範囲について、もっと詳しく知りたい方はこちらで詳しく説明しております。

(3)リスクアセスメント、リスクマネジメント

情報セキュリティにおけるリスクアセスメントとは、組織のリスクを洗い出し、評価することをいいます。
リスクアセスメントを実施するための基準を作ること、リスクを受容する基準を作ることなどが求められています。つまり、リスクアセスメントとは評価です。

リスクマネジメントとは発生しうるリスクに対して、リスクを想定し、対策を講じることをいいます。

リスクアセスメントを実施してリスクを洗い出し、リスクマネジメントとしてそのリスクへの対策を検討するという仕組みです。

リスクアセスメントについて、もっと詳しく知りたい方はこちらで詳しく説明しております。

(4)適用宣言

ISMS(ISO27001)の適用宣言というものがあります。
規格の中に付属書Aというものがあり、こういった規定を作成する必要があるという要求事項のリストです。

例えば、テレワークについてルールを定めることやアクセス制限についてルールを定めることが要求されています。
管理策と呼ばれるこの要求は114項目あり、それらを自社に適用するかどうかを宣言することを適用宣言といいます。
記録として文書を作成する必要があります。

適用宣言について、もっと詳しく知りたい方はこちらで詳しく説明しております。

(5)BCMS(事業継続マネジメントシステム)

災害などの自然災害や、システム障害等の脅威が発生した場合に、事業を継続する上で影響を及ぼす様々なリスクに対して、事業が中断されることがないよう対応策を検討しておくことが必要となります。

ISMS(ISO27001)では、通信障害によるサービス停止への対応や、サービス提供のための人員の安全確保などが考えられます。

事業継続について、もっと詳しく知りたい方はこちらで詳しく説明しております。

8.ISMS更新のサイクルについて

ISMS(ISO27001)のサイクルは、3年間です。ISO27001の有効期限は3年間です。
たとえば、2022年9月1日に認証取得できたとしたら、有効期限は2025年8月31日になります。
認証取得できたからといってその後何もしないでおくと、更新できず最後には無効となってしまいます。ISO27001を維持したいのであれば、維持審査と更新審査を受ける必要があります。

全体的なサイクルとしては、以下の図のような流れになり、維持するためには毎年審査を受けることになります。

まとめ

ISMSとは企業・組織の情報を守るためのマネジメントシステムのことで、

国際的に他者を評価する資格をもつ審査機関に情報セキュリティに関するマネジメントシステムを構築、運用できていることを認められることを、ISMS(ISO27001)の認証といいます。

ISMS(ISO27001)とプライバシーマーク(Pマーク)の違いは、規格として認められているグレードがISMSは国際単位で、プライバシーマークは個人情報のみとなります。
優劣はありません。

ISMS(ISO27001)認証を取得するメリットは、
①組織のシステムが確立しやすくなる、
②責任と権限が明確になる、
③他社から信頼を得やすくなるなどがあります。

それに対しデメリットは、
①手間が増える、
②手順が増える、
③審査費用が発生するなどがあります。

ISMS(ISO27001)の認証スケジュールは一般的には6か月~1年かかると言われており、 認証範囲やそこにかけられる人員、コストにもよりますが、まずはスケジュールなどを具体的にしていくことが大事です。

ISMS(ISO27001)認証に必要なポイントは、
(1)情報セキュリティ基本方針、
(2)適用範囲の決定、
(3)リスクアセスメント、リスクマネジメント、
(4)適用宣言、
(5)BCMS(事業継続マネジメントシステム)となります。

お悩みがあれば、まずは無料でご相談も可能ですので、お気軽にお問い合わせください! ISMS新規認証取得・運用について詳しく知りたい方はコチラ
月額4万で全ての作業をサポート!新規認証コンサルティング
審査認証率100%!運用・更新コンサルティング

プロのコンサルタントがお悩みをお伺いします。
お気軽にご相談ください。

ISO・Pマーク(プライバシーマーク)に関することなら
何でもお気軽にご相談ください

認証パートナーロゴ

0120-068-268
お電話受付:平日9:30〜18:30

5営業日以内にお届け!

新規取得・運用別に
役立つ資料をお届けします

新規認証や運用・更新にあたって当社が何を請け負うか、
わかりやすい資料でご検討の参考にしてください。

役立つ資料をお届け

ISMS(ISO27001)認証パートナー
サービスのご案内

認証パートナーロゴ

認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。