2024年11月7日
ISMAPに必要な管理基準3つを解説
ISMAP登録に必要な管理基準は、「ガバナンス基準」「マネジメント基準」「管理策基準」の3種類です。ISMSにおける規格要求事項[JIS Q(ISO/IEC) 27001,27002]にあたるものであり、ISMAPに対応するために考慮しなければならない項目がまとまったものになります。
2024年12月25日
ISMS(ISO27001)をわかりやすく説明すると、「組織の情報を守るためのルールや仕組み」のことです。顧客情報や営業秘密など会社の大切な情報を外部からの攻撃や内部の不正アクセスから守るためのものです。
ISMS(ISO27001)の概要および取得のメリット・デメリットについてもわかりやすく解説していきます。
ISMSとは、Information Security Management Systemの略で、情報セキュリティマネジメントシステムを指します。
つまり、情報セキュリティを管理するための仕組みです。
このシステムは、情報の安全対策を講じ、情報漏洩などのインシデント(事故)の発生を低減させることを目的としています。
ISMSについては、こちらの記事で詳しく説明しております。
ISO27001は、組織内の情報を保護し有効に活用するための情報セキュリティマネジメントシステム(ISMS)に関するISOの規格です。
特にシステム開発やIT系などの情報通信業界の組織で多く取得されている規格であり、「情報の機密性・完全性・可用性を管理し、情報を有効に活用するための組織の枠組み」を示しています。
これらの機密性・完全性・可用性をまとめて「CIA(シーアイエー)」と呼びます。
なお、「ISO/IEC27001:2022」という表記を見たことがある方もいらっしゃるかもしれませんが、これはISO27001とほぼ同じ意味で、「2022年に改訂された国際標準化機構内の国際電気標準会議で定められた情報セキュリティに関する基準」を指します。
ISMSとISO27001は、情報セキュリティに関連する概念ですが、それぞれ異なる役割を持っています。
まず、ISMS(情報セキュリティマネジメントシステム)は、組織が情報セキュリティを管理するための包括的な枠組みやプロセスを指します。これは、情報資産を保護し、リスクを管理するための方針、手順、ガイドライン、リソースを含むシステムです。ISMSは、組織の特定のニーズやリスクに基づいてカスタマイズされ、情報の機密性、完全性、可用性を確保することを目的としています
一方、ISO27001は、ISMSを構築、実施、運用、監視、レビュー、維持、改善するための国際規格です。この規格は、ISMSの要件を定めており、組織が情報セキュリティを効果的に管理するためのベストプラクティスを提供します。ISO27001に準拠することで、組織は第三者機関からの認証を受けることができ、情報セキュリティ管理の信頼性を外部に示すことができます。
要するに、ISMSは情報セキュリティを管理するためのシステムそのものであり、ISO27001はそのシステムを構築・運用するための具体的な基準やガイドラインを提供する規格です。ISO27001に基づいてISMSを実施することで、組織は情報セキュリティの管理を体系的かつ効果的に行うことができます。
そのため、厳密には異なりますが、「ISO27001」を通称で「ISMS」と呼ぶ人も多く、ほぼ同じ意味として使われることがあります。
ISMS(ISO27001)を取得することで、どのような効果やメリットが得られるのでしょうか。
また、デメリットはあるのでしょうか。簡単にまとめました。
<対外的なメリット>
<社内的なメリット>
ISMS取得のメリット・デメリットについては、こちらの記事で詳しく説明しております。
ISO27001の認証取得に要する期間は、企業の規模や現行の情報セキュリティ管理体制の状況によって異なりますが、一般的には約4ヶ月から約6ヶ月程度とされています。
ただし、これはあくまで目安であり、準備が不十分であったり、改善が必要な点が多い場合には、より長い時間がかかることもあります。
ISMS(ISO27001)の取得に向けた計画を立て、何をいつ行うかのスケジュールを作成することをお勧めします。
本業が忙しいために、ISMSの構築や運用を後回しにしてしまい、放置してしまうケースがよく見受けられます。
そして、審査が近づいてから「何も手をつけていない!」と慌てて進めようとし、苦労することになります。
年間の運用計画、すなわちスケジュールを事前に立てておくことで、何をいつ行うかをあらかじめ決めておき、審査直前にタスクが山積みになる事態を避けることができます。
運用のための組織体制を整備しましょう。
可能であれば、ISMSプロジェクト専用のチームを編成することをお勧めします。ISMSの取得や運用は専門性が高く、コンサルタント業務として成り立つほどのものです。実際には、担当者を一人に任せ、通常業務と兼務させることが多いですが、負担が集中してしまうため、複数人で対応するのが理想的です。
「社内の人手が不足している」「忙しくてISMSについて調べたり学ぶ時間がない」「取得を急いでいる」といった状況であれば、コンサルティング会社のサポートを利用することを検討してみてください。
そして、ISMS取得のためのチームが整ったら、「情報セキュリティ方針」を策定しましょう。
策定した情報セキュリティ方針は、組織内で周知する必要があります。全員が情報セキュリティ方針の内容を確認でき、理解している状態にしておくことが重要です。
会社にどのような情報がどれだけ存在するかを確認しましょう。
情報とは、組織内外で伝達される事象や知識、内容を指し、資産とも言い換えられるものです。
したがって、電子データや紙に記載されたものだけでなく、パソコンやルーターなども資産として洗い出している企業もあります。
ただし、どこまで洗い出すかについては厳密な基準があるわけではありません。
「業務で使用する情報は保護する必要がある」という認識で進めると良いでしょう。
業務で使用されている情報や資産を洗い出した後は、それらにどのようなリスクが存在するかを分析します。
例えば、履歴書を例に考えると、情報が外部に流出する「漏洩」、一部の情報が消失したり見えなくなる「毀損」、履歴書自体を紛失する「滅失」などのリスクが考えられます。それぞれのリスクに対してどのような対策を講じているか、その対策が十分であるかを確認する必要があります。
リスクアセスメントについては、こちらの記事で詳しく説明しております。
法令や指針、規範を明確にしましょう。
情報資産を保護する際に、法令などに違反していると、情報セキュリティ以前の問題となります。
法令違反のリスクは常に存在します。情報資産を守るためには、まず該当する法令などを確認し、特定しておくことが重要です。
リスクに対する必要な対策を洗い出した後、すぐに対応できるものもあります。
しかし、時間をかけて実施しなければならない場合や、資金や人員が必要な場合には、稟議書の提出、準備担当者の決定、実施期限の設定など、詳細な計画を立てることが求められます。
また、計画を立てた後は、その計画が無理なく実施されているかを確認することが重要です。もし実現が難しい場合には、人員や予算の調整を行ったり、計画の延期を検討したり、思い切って別の計画に変更することも考慮する必要があります。このような見直しやチェックのタイミングを設けることが大切です。
ルールや文書を作成しても、それが組織内で周知されていなければ意味がありません。
ISMSに関する教育の機会を設け、全員がルールや文書を理解した上で業務やシステムの構築・運用に取り組めるようにしましょう。理想的なのは、意識せずともルールや文書が自然に運用される状態です。
ISMSではPDCAサイクルを回すことが求められます。
その際、内部監査とマネジメントレビューの実施は欠かせません。ISO27001の取得と維持には必須のプロセスであり、多くの場合、「ISO27001(ISMS)取得のためだけに」行われることが一般的です。
しかし、内部監査の本来の目的は、「ルールが守られているか」「ルールは現状のままで適切か」を確認することです。マネジメントレビューは、業務の進捗状況などをトップマネジメント(社長など)に報告し、指示を受けるプロセスです。
このように考えると、ISMSや情報セキュリティに限らず、組織内にはすでにこうしたチェック機能が存在していることが多いです。ISMSのためだけに行うのではなく、実質的な運用を目指すことで、取得後も形骸化せず、スムーズな運用が可能になります。
実施結果について評価を行いましょう。
計画策定時に「計画の見直しのタイミングを設ける」と記載しましたが、同様に実施結果の評価も必要です。
例えば、100点を目指していたが結果が80点だった場合、なぜ20点足りなかったのかを分析します。また、9月1日までに完了する予定だったものが9月10日までかかった場合、実施期間が適切だったのか、来年度はどのように計画するのが良いのか、あるいは目標自体に問題があったのかを確認する必要があります。
その後、次回の目標や計画について代表者から指示を受け、それを計画に反映させることが求められます。
ISMSの要求事項については、こちらの記事で詳しく説明しております。
ISMSの審査にはいくつかの種類があります。
まず、新規認証時には一次審査と二次審査が行われます。
審査機関によって呼び方が異なる場合がありますが、審査の目的はISMSの認証が適切かどうかを確認することです。
一次審査では、文書や帳票類のチェックを中心に行われ、規格要求を満たした会社のルールが適切に作成されているかが確認されます。
二次審査では、作成したルールが実際に機能しているかが確認されます。ルールが存在しても、現場で実施されていなければ意味がありません。
審査の日数は会社の規模によって異なり、一次審査と二次審査の間には通常、約1か月の期間が設けられます。
認証完了後の翌年からは、維持審査と更新審査が行われます。
維持審査は、前回の審査からの運用状況を確認するもので、ルールが崩れていないか、現場で引き続きルール通りに業務が行われているかを確認します。定期的な確認に近いため、審査工数は新規認証時よりも少ないことが多いです。
更新審査は3年に1回行われ、3年間分の運用状況を確認します。維持審査分の確認も改めて実施され、ISO認証の更新に問題がないかを確認します。3年間が範囲となるため、維持審査よりも審査工数は多くなります。
ISMSの審査については、こちらの記事で詳しく説明しております。
ISMS認証は取得後3年間有効です。この認証を継続するためには、3年ごとに「更新審査」を受ける必要があります。
また、毎年行われる「維持審査」を受けないとISMS認証は失効してしまいます。
そのため、実際には毎年審査が行われると考えてください
ISMS認証取得にかかる費用は、主に審査費用と社内準備費用の2つに分けられます。
審査費用には、新規取得時の一次審査と二次審査の費用が含まれ、さらに認証取得後には定期的な監査(サーベイランス)の費用も必要です。これらの費用は、認証機関や認証範囲によって異なりますが、一般的には年間で数十万円から数百万円程度です。
社内準備費用には、ISMSの構築や運用、内部監査に関連する人件費、教育費、コンサルティング費用などが含まれます。これらの費用は、企業の規模や業種、選定する認証機関、ISMSの構築状況によって大きく変わるため、具体的な金額を算出するのは難しいですが、全体として数百万円程度が目安となります。
ISMSの取得を検討している企業の中には、プライバシーマークの取得とどちらが良いか迷っている企業も多くあります。そこで、ISMSとプライバシーマークの違いについて簡単にまとめました。
どちらを取得するのが自社に適しているかを確認した上で、取得準備を進めることをお勧めします。
規格 | ISO27001 | Pマーク |
---|---|---|
対象事項 | 情報資産全般 | 個人情報のみ |
グレード | 国際規格 グローバル視点で評価に値する | 国内規格 |
認証の範囲 | 事業・事業所・部門単位での取得も可能 | 1社全体(全部署・全従業員) |
認証までの期間 | 約4ヶ月~約6ヶ月 | 約6ヶ月~約9ヶ月 |
審査の違い | ■簡単 ①審査時に、「広く・浅く」見られる ②リスクに応じて対策が打てる、 ルールに自由度有 ③ 認証範囲を選べる (全社・事業部・拠点等)④審査機関すべて価格が違う=競争原理ある ⑤審査日数が対象人数に応じて変わる ⑥コンサルタントの審査立会が可能 | ■難しい ①審査時に 「狭く・深く」 見られる②個人情報保護を基準に平均的なリスク対策が必要 ③ 組織全体で認証 ④審査機関すべて価格が同じ= 競争原理なし ⑤審査が1日で終わる ⑥審査は従業員のみが立会可能 |
審査の頻度 | 3年に1回更新 審査は毎年1回以上 | 2年に1度 |
取引要件として | ISO27001が取引要件= Pマーク× | Pマークが取引要件= ISO27001認証〇 |
ISMSとプライバシーマークの違いについて、こちらの記事で詳しく説明しております。
ISMSとは、情報セキュリティマネジメントシステムを指し、簡単に言えば「情報セキュリティを管理する仕組み」です。
ISO27001は、組織内の情報を保護し、有効に活用するための情報セキュリティマネジメントシステム(ISMS)に関するISOの規格です。
「ISMS」は仕組みを指し、「ISO27001」はその規格を指しますが、一般的には「ISO27001」を「ISMS」と呼ぶことが多く、ほぼ同じ意味で使われています。
ISMS(ISO27001)を取得することには、
といった効果・メリットがあります。
ISMS(ISO27001)の構築・運用においては、求められるポイントを押さえることで、スムーズに進めることができるでしょう。
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!
お問合せは
こちらから
全国どこでもオンラインで対応!
気軽にご相談ください!
相談予約は
こちらから
8,000社以上の支援実績に裏付けされた、
弊社サービスの概要を紹介しております。
資料の内容
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。
ISO27017やISO22000など各種規格もお得に 新規取得や運用・更新ができます。ご気軽にお見積りください。
ISOやプライバシーマークを同時に認証取得すると費用や工数を抑えることができます。安心してご相談ください