ISMS（ISO27001）をわかりやすく説明すると、「組織の情報を守るためのマネジメントシステム」のことです。
ISMS（ISO27001）の概要および取得のメリット・デメリットについてもわかりやすく説明していきます。

１．ISMSとは

ISMS（アイエスエムエス）とは、Information Security Management Systemの頭文字をとった略称で、情報セキュリティマネジメントシステムのことです。

つまり、ISMSとは、情報セキュリティを管理する仕組みのことを指します。

情報の安全対策を行い、情報漏えいに代表されるインシデント（事故）発生を低減させるための仕組みです。

２．ISO27001とは

ISO27001とは、組織内の情報を守り有効活用するための情報セキュリティマネジメントシステム（ISMS）に関するISOの規格です。

システム開発・IT系など情報通信業界の組織の取得が特に多い規格で、
「情報の機密性・完全性・可用性をマネジメントして情報を有効に活用するための組織の枠組み」を示しています。

・機密性：Confidentiality
秘密性守秘義務を表します

・完全性：Integrity
完全な状態、欠けていない状態を指します

・可用性：Availability
利用や使用ができること、使用可能であることを指します

機密性・完全性・可用性をまとめて「CIA（シーアイエー）」と呼びます。

ちなみに「ISO/IEC27001:2013」という表記を見たことある方もいらっしゃるかもしれませんが、
これはISO27001とほぼ同じ意味で、
「2013年に改訂された国際標準化機構内の国際電気標準会議で定められた情報セキュリティに関する基準」を指します。

３．ISMSとISO27001は同じ意味？

ISMSは情報セキュリティマネジメントシステムのことなので、「仕組み」のことです。
一方、ISO27001は情報セキュリティマネジメントシステムの「規格」なので、厳密に言うと同じ意味ではありません。

しかし、「ISO27001」を通称で「ISMS」と呼ぶ人も多く、ほぼ同じ意味として使われています。

４．ISMS（ISO27001）取得のメリット・デメリット

ISMS（ISO27001）を取得するとどのような効果・メリットがあるのでしょうか。また、デメリットはあるのでしょうか。簡単にまとめてみました。

■メリット
①顧客や取引先から信頼を得やすい状態になる
②情報を取り扱う手順やルールを明確にできる
③役割や責任権限が明確になる

■デメリット
①作業が増える
②守るべきルール・手順が増える
③審査費用が発生する

こちらの記事でメリット・デメリットについて詳しく述べておりますので是非ご覧ください。

５．ISMS（ISO27001）構築の流れ

ISMS（ISO27001）を構築する際のポイントは５つです。

①情報の洗い出し
②洗い出した情報に対してのリスクの認識、分析（＝リスクアセスメント）
③リスクを低減するための計画の策定
④計画の実施
⑤実施内容の評価

ISMS（ISO27001）の意図しているものは、情報の安全対策を行うことであり、
情報漏えいに代表されるインシデント発生を低減させるのが目的です。

それぞれを詳しく見ていきましょう。

①情報の洗い出し
会社にどんな情報がどれだけあるか確認しようというものです。
情報とは組織内外へ伝達を行うための事象や知識、物事、内容で資産ともいいかえられるものです。
つまり、単に電子データや紙に書かれたもの以外にも、パソコンやルーターといったものまで資産として洗い出している企業もあります。

しかし、どこまで洗い出すのかというのは厳密に定められているものではありません。
「業務で使う情報は保護する必要がある」という認識でよいでしょう。

②洗い出した情報に対しての危険性の認識、分析（＝リスクアセスメント）
仕事でどのような情報や資産が使われているかを洗い出したら、次はその情報や資産にどのような危険性があるのかを分析します。

例えば履歴書で考えてみると、情報が外部に流出する漏えい、一部情報が消えてしまったり見えなくなる毀損、そもそも履歴書をなくしてしまうような滅失が考えられますが、それぞれに対してどのような対策を取れているのか、その対策は十分かという確認を行う必要があります。

③危険性を低減するための計画の策定
どのような対策を行う必要があるのか洗い出したら、その対策についてすぐに対応できるものもあるのですが、
「ある程度時間をかけて実施しなければならない」「お金や人が必要になる」となればその分の稟議書提出や誰が準備するのか、いつまでに実施するのかという詳細な予定を組む必要が出てきます。
そうした計画を策定する必要があります。

④計画の実施
計画を立てたものを実施していきましょう。

しかしながら全て計画通りにいくかというと、そうでは無いかもしれません。
そういった場合は、計画の見直しを行うことも大切なポイントになってきます。
ですので計画を立てたままではなく、
計画を立てた後は無理なく実施できているか、
実現が難しそうな場合は可能になるよう人や予算の調整を行うことや、
そもそも計画を延期すること、
思い切って別な計画に変更してしまうという見直しやチェックのタイミングを設ける必要があります。

ただ計画を立てただけ、立てっぱなしにしているという状態はやめましょう。

⑤実施内容の評価
実施した結果について評価を行いましょう。
計画策定で「計画の見直しのタイミングを作る」と書きましたが、同様に実施した結果についての評価を行う必要があります。

例えば100点を目指していたが、結果80点だった場合どうして20点足りなかったのか、
他には9月1日までで計画されていたものが、9月10日までかかったような場合実施期間が適切であったのか来年度はどのように計画するのがよいのか、
そもそも目標に問題があったのか等確認を行う必要があります。

そこからさらに、次回はどのような目標や計画にしようかという指示を代表者からもらい、計画に反映する必要があります。

こちらの記事でもISMS（ISO27001）取得について解説しておりますので是非ご覧ください。

まとめ

ISMSとは、情報セキュリティマネジメントシステムを指します。分かりやすく言うと、「情報セキュリティを管理する仕組み」です。

ISO27001とは、組織内の情報を守り有効活用するための情報セキュリティマネジメントシステム（ISMS）に関するISOの規格です。

「ISMS」は仕組みであり、「ISO27001」は規格のことなので厳密には意味が異なりますが、「ISO27001」を通称で「ISMS」と呼ぶ人も多く、ほぼ同じ意味として使われています。

ISMS（ISO27001）を取得する効果・メリットは、
①顧客や取引先から信頼を得やすい状態になる
②情報を取り扱う手順やルールを明確にできる
③役割や責任権限が明確になるの３点です。

構築・運用の際は、ISMS（ISO27001）が求めている５つのポイントをおさえるとスムーズに進むでしょう。