ISMS審査合格率100%
0120-068-268
お電話受付:平日9:30〜17:00

【初心者必見!】ISMS(ISO27001)の概要をわかりやすく解説!

スタッフ写真
スタッフ写真

2024年12月25日

【初心者必見!】ISMS(ISO27001)の概要をわかりやすく解説!

ISMS(ISO27001)をわかりやすく説明すると、「組織の情報を守るためのルールや仕組み」のことです。顧客情報や営業秘密など会社の大切な情報を外部からの攻撃や内部の不正アクセスから守るためのものです。
ISMS(ISO27001)の概要および取得のメリット・デメリットについてもわかりやすく解説していきます。

1.ISMSとは

ISMSとは、Information Security Management Systemの略で、情報セキュリティマネジメントシステムを指します。

つまり、情報セキュリティを管理するための仕組みです。

このシステムは、情報の安全対策を講じ、情報漏洩などのインシデント(事故)の発生を低減させることを目的としています。

ISMSについては、こちらの記事で詳しく説明しております。

2.ISO27001とは

ISO27001は、組織内の情報を保護し有効に活用するための情報セキュリティマネジメントシステム(ISMS)に関するISOの規格です。

特にシステム開発やIT系などの情報通信業界の組織で多く取得されている規格であり、「情報の機密性・完全性・可用性を管理し、情報を有効に活用するための組織の枠組み」を示しています。

  • 機密性(Confidentiality):情報が漏れないようにすること
  • 完全性(Integrity):情報が改ざんされないようにすること
  • 可用性(Availability):情報が必要なときに利用できる状態にすること

これらの機密性・完全性・可用性をまとめて「CIA(シーアイエー)」と呼びます。

なお、「ISO/IEC27001:2022」という表記を見たことがある方もいらっしゃるかもしれませんが、これはISO27001とほぼ同じ意味で、「2022年に改訂された国際標準化機構内の国際電気標準会議で定められた情報セキュリティに関する基準」を指します。

3.ISMSとISO27001は同じ意味?

ISMSとISO27001は、情報セキュリティに関連する概念ですが、それぞれ異なる役割を持っています。

まず、ISMS(情報セキュリティマネジメントシステム)は、組織が情報セキュリティを管理するための包括的な枠組みやプロセスを指します。これは、情報資産を保護し、リスクを管理するための方針、手順、ガイドライン、リソースを含むシステムです。ISMSは、組織の特定のニーズやリスクに基づいてカスタマイズされ、情報の機密性、完全性、可用性を確保することを目的としています

一方、ISO27001は、ISMSを構築、実施、運用、監視、レビュー、維持、改善するための国際規格です。この規格は、ISMSの要件を定めており、組織が情報セキュリティを効果的に管理するためのベストプラクティスを提供します。ISO27001に準拠することで、組織は第三者機関からの認証を受けることができ、情報セキュリティ管理の信頼性を外部に示すことができます。

要するに、ISMSは情報セキュリティを管理するためのシステムそのものであり、ISO27001はそのシステムを構築・運用するための具体的な基準やガイドラインを提供する規格です。ISO27001に基づいてISMSを実施することで、組織は情報セキュリティの管理を体系的かつ効果的に行うことができます。

そのため、厳密には異なりますが、「ISO27001」を通称で「ISMS」と呼ぶ人も多く、ほぼ同じ意味として使われることがあります。

4.ISMS(ISO27001)取得のメリット・デメリット

ISMS(ISO27001)を取得することで、どのような効果やメリットが得られるのでしょうか。

また、デメリットはあるのでしょうか。簡単にまとめました。
<対外的なメリット>

  1. 顧客や取引先から信頼を得やすい状態になる
  2. 入札(取引)条件のクリア
  3. 他社との差別化

<社内的なメリット>

  1. 情報を取り扱う手順やルールを明確にできる
  2. セキュリティ意識の向上とリスクの軽減
  3. 業務の効率化

■デメリット

  1. 作業が増える
  2. 守るべきルール・手順が増える
  3. 審査費用が発生する

ISMS取得のメリット・デメリットについては、こちらの記事で詳しく説明しております。

5. ISMS認証取得までにかかる期間

ISO27001の認証取得に要する期間は、企業の規模や現行の情報セキュリティ管理体制の状況によって異なりますが、一般的には約4ヶ月から約6ヶ月程度とされています。

ただし、これはあくまで目安であり、準備が不十分であったり、改善が必要な点が多い場合には、より長い時間がかかることもあります。

6.ISMS(ISO27001)構築の流れ

①ISMS(ISO27001)取得までの計画を立てる

ISMS(ISO27001)の取得に向けた計画を立て、何をいつ行うかのスケジュールを作成することをお勧めします。

本業が忙しいために、ISMSの構築や運用を後回しにしてしまい、放置してしまうケースがよく見受けられます。

そして、審査が近づいてから「何も手をつけていない!」と慌てて進めようとし、苦労することになります。

年間の運用計画、すなわちスケジュールを事前に立てておくことで、何をいつ行うかをあらかじめ決めておき、審査直前にタスクが山積みになる事態を避けることができます。

②ISMS(ISO27001)運用のための組織作り

運用のための組織体制を整備しましょう。

可能であれば、ISMSプロジェクト専用のチームを編成することをお勧めします。ISMSの取得や運用は専門性が高く、コンサルタント業務として成り立つほどのものです。実際には、担当者を一人に任せ、通常業務と兼務させることが多いですが、負担が集中してしまうため、複数人で対応するのが理想的です。

「社内の人手が不足している」「忙しくてISMSについて調べたり学ぶ時間がない」「取得を急いでいる」といった状況であれば、コンサルティング会社のサポートを利用することを検討してみてください。

そして、ISMS取得のためのチームが整ったら、「情報セキュリティ方針」を策定しましょう。

策定した情報セキュリティ方針は、組織内で周知する必要があります。全員が情報セキュリティ方針の内容を確認でき、理解している状態にしておくことが重要です。

③情報の洗い出し

会社にどのような情報がどれだけ存在するかを確認しましょう。

情報とは、組織内外で伝達される事象や知識、内容を指し、資産とも言い換えられるものです。

したがって、電子データや紙に記載されたものだけでなく、パソコンやルーターなども資産として洗い出している企業もあります。

ただし、どこまで洗い出すかについては厳密な基準があるわけではありません。

「業務で使用する情報は保護する必要がある」という認識で進めると良いでしょう。

④リスクアセスメントを実施する(=リスク特定・リスク分析・リスク評価)

業務で使用されている情報や資産を洗い出した後は、それらにどのようなリスクが存在するかを分析します。

例えば、履歴書を例に考えると、情報が外部に流出する「漏洩」、一部の情報が消失したり見えなくなる「毀損」、履歴書自体を紛失する「滅失」などのリスクが考えられます。それぞれのリスクに対してどのような対策を講じているか、その対策が十分であるかを確認する必要があります。

リスクアセスメントについては、こちらの記事で詳しく説明しております。

⑤法令、国が定める指針その他の規範を特定する

法令や指針、規範を明確にしましょう。

情報資産を保護する際に、法令などに違反していると、情報セキュリティ以前の問題となります。

法令違反のリスクは常に存在します。情報資産を守るためには、まず該当する法令などを確認し、特定しておくことが重要です。

⑥リスクを低減するための計画の策定

リスクに対する必要な対策を洗い出した後、すぐに対応できるものもあります。

しかし、時間をかけて実施しなければならない場合や、資金や人員が必要な場合には、稟議書の提出、準備担当者の決定、実施期限の設定など、詳細な計画を立てることが求められます。
また、計画を立てた後は、その計画が無理なく実施されているかを確認することが重要です。もし実現が難しい場合には、人員や予算の調整を行ったり、計画の延期を検討したり、思い切って別の計画に変更することも考慮する必要があります。このような見直しやチェックのタイミングを設けることが大切です。

⑦ISMS(ISO27001)を周知するための教育を実施する

ルールや文書を作成しても、それが組織内で周知されていなければ意味がありません。

ISMSに関する教育の機会を設け、全員がルールや文書を理解した上で業務やシステムの構築・運用に取り組めるようにしましょう。理想的なのは、意識せずともルールや文書が自然に運用される状態です。

⑧ISMS(ISO27001)の運用を開始する

ISMSではPDCAサイクルを回すことが求められます。

その際、内部監査とマネジメントレビューの実施は欠かせません。ISO27001の取得と維持には必須のプロセスであり、多くの場合、「ISO27001(ISMS)取得のためだけに」行われることが一般的です。

しかし、内部監査の本来の目的は、「ルールが守られているか」「ルールは現状のままで適切か」を確認することです。マネジメントレビューは、業務の進捗状況などをトップマネジメント(社長など)に報告し、指示を受けるプロセスです。

このように考えると、ISMSや情報セキュリティに限らず、組織内にはすでにこうしたチェック機能が存在していることが多いです。ISMSのためだけに行うのではなく、実質的な運用を目指すことで、取得後も形骸化せず、スムーズな運用が可能になります。

⑨実施内容の評価

実施結果について評価を行いましょう。

計画策定時に「計画の見直しのタイミングを設ける」と記載しましたが、同様に実施結果の評価も必要です。

例えば、100点を目指していたが結果が80点だった場合、なぜ20点足りなかったのかを分析します。また、9月1日までに完了する予定だったものが9月10日までかかった場合、実施期間が適切だったのか、来年度はどのように計画するのが良いのか、あるいは目標自体に問題があったのかを確認する必要があります。

その後、次回の目標や計画について代表者から指示を受け、それを計画に反映させることが求められます。

ISMSの要求事項については、こちらの記事で詳しく説明しております。

7.ISMS 認証の審査とは

ISMSの審査にはいくつかの種類があります。

まず、新規認証時には一次審査と二次審査が行われます。

審査機関によって呼び方が異なる場合がありますが、審査の目的はISMSの認証が適切かどうかを確認することです。

一次審査では、文書や帳票類のチェックを中心に行われ、規格要求を満たした会社のルールが適切に作成されているかが確認されます。

二次審査では、作成したルールが実際に機能しているかが確認されます。ルールが存在しても、現場で実施されていなければ意味がありません。

審査の日数は会社の規模によって異なり、一次審査と二次審査の間には通常、約1か月の期間が設けられます。

認証完了後の翌年からは、維持審査と更新審査が行われます。

維持審査は、前回の審査からの運用状況を確認するもので、ルールが崩れていないか、現場で引き続きルール通りに業務が行われているかを確認します。定期的な確認に近いため、審査工数は新規認証時よりも少ないことが多いです。

更新審査は3年に1回行われ、3年間分の運用状況を確認します。維持審査分の確認も改めて実施され、ISO認証の更新に問題がないかを確認します。3年間が範囲となるため、維持審査よりも審査工数は多くなります。

ISMSの審査については、こちらの記事で詳しく説明しております。

8.ISMS認証の有効期間

ISMS認証は取得後3年間有効です。この認証を継続するためには、3年ごとに「更新審査」を受ける必要があります。

また、毎年行われる「維持審査」を受けないとISMS認証は失効してしまいます。

そのため、実際には毎年審査が行われると考えてください

9.ISMS 認証の取得・更新にかかる費用

ISMS認証取得にかかる費用は、主に審査費用と社内準備費用の2つに分けられます。

審査費用には、新規取得時の一次審査と二次審査の費用が含まれ、さらに認証取得後には定期的な監査(サーベイランス)の費用も必要です。これらの費用は、認証機関や認証範囲によって異なりますが、一般的には年間で数十万円から数百万円程度です。

社内準備費用には、ISMSの構築や運用、内部監査に関連する人件費、教育費、コンサルティング費用などが含まれます。これらの費用は、企業の規模や業種、選定する認証機関、ISMSの構築状況によって大きく変わるため、具体的な金額を算出するのは難しいですが、全体として数百万円程度が目安となります。

10.ISMSとプライバシーマークの違い

ISMSの取得を検討している企業の中には、プライバシーマークの取得とどちらが良いか迷っている企業も多くあります。そこで、ISMSとプライバシーマークの違いについて簡単にまとめました。

どちらを取得するのが自社に適しているかを確認した上で、取得準備を進めることをお勧めします。

規格ISO27001Pマーク
対象事項情報資産全般個人情報のみ
グレード国際規格
グローバル視点で評価に値する
国内規格
認証の範囲事業・事業所・部門単位での取得も可能1社全体(全部署・全従業員)
認証までの期間約4ヶ月~約6ヶ月約6ヶ月~約9ヶ月
審査の違い■簡単
①審査時に、「広く・浅く」見られる
②リスクに応じて対策が打てる、ルールに自由度有
認証範囲を選べる(全社・事業部・拠点等)
④審査機関すべて価格が違う=競争原理ある
⑤審査日数が対象人数に応じて変わる
⑥コンサルタントの審査立会が可能
■難しい
①審査時に「狭く・深く」見られる
②個人情報保護を基準に平均的なリスク対策が必要
組織全体で認証
④審査機関すべて価格が同じ=競争原理なし
⑤審査が1日で終わる
⑥審査は従業員のみが立会可能
審査の頻度3年に1回更新
審査は毎年1回以上
2年に1度
取引要件として

ISO27001が取引要件= Pマーク×
→Pマークを持っていても、要件として包括されない
Pマークが取引要件= ISO27001認証〇
→ ISO27001(ISMS)なら、Pマークを包括できるケースが多い

ISMSとプライバシーマークの違いについて、こちらの記事で詳しく説明しております。

まとめ

ISMSとは、情報セキュリティマネジメントシステムを指し、簡単に言えば「情報セキュリティを管理する仕組み」です。

ISO27001は、組織内の情報を保護し、有効に活用するための情報セキュリティマネジメントシステム(ISMS)に関するISOの規格です。

「ISMS」は仕組みを指し、「ISO27001」はその規格を指しますが、一般的には「ISO27001」を「ISMS」と呼ぶことが多く、ほぼ同じ意味で使われています。

ISMS(ISO27001)を取得することには、

  • 顧客や取引先からの信頼を得やすくなる。
  • 情報を取り扱う手順やルールを明確にできる。
  • 他社との差別化になる。

といった効果・メリットがあります。

ISMS(ISO27001)の構築・運用においては、求められるポイントを押さえることで、スムーズに進めることができるでしょう。

ISO・Pマーク認証更新でお悩みの方へ

Pマークについてお悩み、ご質問がある方はこちら

認証パートナーは、8000社を超える企業様に認証率100%で支援してきた実績と経験豊富なコンサルタントの知見を活かし、お客様の目標達成を全力でサポートいたします。
アドバイスや取り次ぎだけでなく、書類作成や監督に向けての準備、年々変化するルールへの対応まで、お客様のパートナーとして共に歩んでまいります。
認証取得したいけれど、何をすれば良いか分からない方も、まずはお気軽にご相談ください。

\SNSでシェアしてね/

クリップボードにコピーしました

ISO・Pマーク(プライバシーマーク)に関することなら
何でもお気軽にご相談ください

0120-068-268
お電話受付:平日9:30〜17:00

認証パートナーのサービスご説明資料

8,000社以上の支援実績に裏付けされた、
弊社サービスの概要を紹介しております。

資料の内容

  • ・当社のサポート内容
  • ・規格の概要
  • ・取得までに必要な審査費用

ISMS(ISO27001)認証パートナー
サービスのご案内認証パートナーロゴ

認証パートナーロゴ

認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。