2021年10月27日
ISMS(ISO27001)をわかりやすく説明すると、「組織の情報を守るためのマネジメントシステム」のことです。
ISMS(ISO27001)の概要および取得のメリット・デメリットについてもわかりやすく説明していきます。
1.ISMSとは
ISMS(アイエスエムエス)とは、Information Security Management Systemの頭文字をとった略称で、情報セキュリティマネジメントシステムのことです。
つまり、ISMSとは、情報セキュリティを管理する仕組みのことを指します。
情報の安全対策を行い、情報漏えいに代表されるインシデント(事故)発生を低減させるための仕組みです。
2.ISO27001とは
ISO27001とは、組織内の情報を守り有効活用するための情報セキュリティマネジメントシステム(ISMS)に関するISOの規格です。
システム開発・IT系など情報通信業界の組織の取得が特に多い規格で、
「情報の機密性・完全性・可用性をマネジメントして情報を有効に活用するための組織の枠組み」を示しています。
・機密性:Confidentiality
秘密性守秘義務を表します
・完全性:Integrity
完全な状態、欠けていない状態を指します
・可用性:Availability
利用や使用ができること、使用可能であることを指します
機密性・完全性・可用性をまとめて「CIA(シーアイエー)」と呼びます。
ちなみに「ISO/IEC27001:2013」という表記を見たことある方もいらっしゃるかもしれませんが、
これはISO27001とほぼ同じ意味で、
「2013年に改訂された国際標準化機構内の国際電気標準会議で定められた情報セキュリティに関する基準」を指します。
3.ISMSとISO27001は同じ意味?
ISMSは情報セキュリティマネジメントシステムのことなので、「仕組み」のことです。
一方、ISO27001は情報セキュリティマネジメントシステムの「規格」なので、厳密に言うと同じ意味ではありません。
しかし、「ISO27001」を通称で「ISMS」と呼ぶ人も多く、ほぼ同じ意味として使われています。
4.ISMS(ISO27001)取得のメリット・デメリット
ISMS(ISO27001)を取得するとどのような効果・メリットがあるのでしょうか。また、デメリットはあるのでしょうか。簡単にまとめてみました。
■メリット
①顧客や取引先から信頼を得やすい状態になる
②情報を取り扱う手順やルールを明確にできる
③役割や責任権限が明確になる
■デメリット
①作業が増える
②守るべきルール・手順が増える
③審査費用が発生する
こちらの記事でメリット・デメリットについて詳しく述べておりますので是非ご覧ください。
ISMS(ISO27001)の必要性は?取得のメリット・デメリットを紹介
5.ISMS(ISO27001)構築の流れ
ISMS(ISO27001)を構築する際のポイントは5つです。
①情報の洗い出し
②洗い出した情報に対してのリスクの認識、分析(=リスクアセスメント)
③リスクを低減するための計画の策定
④計画の実施
⑤実施内容の評価
ISMS(ISO27001)の意図しているものは、情報の安全対策を行うことであり、
情報漏えいに代表されるインシデント発生を低減させるのが目的です。
それぞれを詳しく見ていきましょう。
①情報の洗い出し
会社にどんな情報がどれだけあるか確認しようというものです。
情報とは組織内外へ伝達を行うための事象や知識、物事、内容で資産ともいいかえられるものです。
つまり、単に電子データや紙に書かれたもの以外にも、パソコンやルーターといったものまで資産として洗い出している企業もあります。
しかし、どこまで洗い出すのかというのは厳密に定められているものではありません。
「業務で使う情報は保護する必要がある」という認識でよいでしょう。
②洗い出した情報に対しての危険性の認識、分析(=リスクアセスメント)
仕事でどのような情報や資産が使われているかを洗い出したら、次はその情報や資産にどのような危険性があるのかを分析します。
例えば履歴書で考えてみると、情報が外部に流出する漏えい、一部情報が消えてしまったり見えなくなる毀損、そもそも履歴書をなくしてしまうような滅失が考えられますが、それぞれに対してどのような対策を取れているのか、その対策は十分かという確認を行う必要があります。
③危険性を低減するための計画の策定
どのような対策を行う必要があるのか洗い出したら、その対策についてすぐに対応できるものもあるのですが、
「ある程度時間をかけて実施しなければならない」「お金や人が必要になる」となればその分の稟議書提出や誰が準備するのか、いつまでに実施するのかという詳細な予定を組む必要が出てきます。
そうした計画を策定する必要があります。
④計画の実施
計画を立てたものを実施していきましょう。
しかしながら全て計画通りにいくかというと、そうでは無いかもしれません。
そういった場合は、計画の見直しを行うことも大切なポイントになってきます。
ですので計画を立てたままではなく、
計画を立てた後は無理なく実施できているか、
実現が難しそうな場合は可能になるよう人や予算の調整を行うことや、
そもそも計画を延期すること、
思い切って別な計画に変更してしまうという見直しやチェックのタイミングを設ける必要があります。
ただ計画を立てただけ、立てっぱなしにしているという状態はやめましょう。
⑤実施内容の評価
実施した結果について評価を行いましょう。
計画策定で「計画の見直しのタイミングを作る」と書きましたが、同様に実施した結果についての評価を行う必要があります。
例えば100点を目指していたが、結果80点だった場合どうして20点足りなかったのか、
他には9月1日までで計画されていたものが、9月10日までかかったような場合実施期間が適切であったのか来年度はどのように計画するのがよいのか、
そもそも目標に問題があったのか等確認を行う必要があります。
そこからさらに、次回はどのような目標や計画にしようかという指示を代表者からもらい、計画に反映する必要があります。
こちらの記事でもISMS(ISO27001)取得について解説しておりますので是非ご覧ください。
ISMS(情報セキュリティマネジメントシステム)とは?
まとめ
ISMSとは、情報セキュリティマネジメントシステムを指します。分かりやすく言うと、「情報セキュリティを管理する仕組み」です。
ISO27001とは、組織内の情報を守り有効活用するための情報セキュリティマネジメントシステム(ISMS)に関するISOの規格です。
「ISMS」は仕組みであり、「ISO27001」は規格のことなので厳密には意味が異なりますが、「ISO27001」を通称で「ISMS」と呼ぶ人も多く、ほぼ同じ意味として使われています。
ISMS(ISO27001)を取得する効果・メリットは、
①顧客や取引先から信頼を得やすい状態になる
②情報を取り扱う手順やルールを明確にできる
③役割や責任権限が明確になるの3点です。
構築・運用の際は、ISMS(ISO27001)が求めている5つのポイントをおさえるとスムーズに進むでしょう。
ISO・Pマークについてのお悩みはありませんか?
- SNSでシェア
- Tweet
ISO・Pマーク(プライバシーマーク)に関することなら
何でもお気軽にご相談ください
0120-068-268
お電話受付:平日9:30〜17:00
お電話受付:平日9:30〜17:00
-
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!
お問合せは
こちらから -
全国どこでもオンラインで対応!
気軽にご相談ください!
相談予約は
こちらから
認証パートナーのサービスご説明資料
新規認証や運用・更新にあたって
当社が請け負うことをわかりやすくまとめました。
ぜひご検討の参考にしてください。
資料の内容
- ・当社のサポート内容
- ・規格の概要
- ・取得までに必要な審査費用
ISMS(ISO27001)認証パートナー
サービスのご案内
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
-
Pマーク
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。Pマークの認証ページへ -
ISO9001
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。ISO9001の認証ページへ -
ISO14001
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。ISO14001の認証ページへ -
ISMS・ISO27001
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。ISMS/ISO27001の認証ページへ