2023年5月26日
ISMSとISO27001の違いとは、
組織の情報を守るための仕組み(ISMS)を指すのか、ISMSをどう構築し、どう運用すれば認証取得できるかを定めた要求事項(ISO27001)を指すのかという点です。ただし、「ISO27001」を通称で「ISMS」と呼ぶ人も多く、ほとんど同じ意味として使われています。
1.ISMSとは?
ISMSとは、情報セキュリティマネジメントシステム(Information Security Management System)を略して呼びやすくしたもので、組織の情報を守るためのシステム・仕組みを指します。
簡単に言うと、「情報を守る仕組み」のことです。
組織内の情報セキュリティに関する方針や手順をつくることで、情報セキュリティを維持するための仕組みを構築していきます。
2.ISO27001とは?
ISO27001とは、ISMS(情報を守る仕組み)をどのように構築し運用するかを定めた要求事項(審査の基準)のことです。
ISO27001を取得することで、
「大切な情報が外に漏れないような仕組みを作って実行していますよ」
と示すことができます。
ISOは国際的な規格ですのでグローバルに通用します。
ちなみに「ISO/IEC27001」という表記を見かけることがあるかもしれませんが、
ISO/IEC27001は、ISO27001とほとんど同じ意味で、ISO27001の正式名称と捉えていただくといいでしょう。
IECとは、国際電気標準会議=International Electrotechnical Commissionのことです。
IEC規格とは電気や電子に関する国際規格であり、ISO規格は電気・電子以外の分野の国際規格です。
「ISO/IEC」は、平たく言えばISOとIECが共同でつくった規格で、「電気部門のお墨付きですよ」というイメージです。
そして、「ISO/IEC27001:2013」と最後に数字がついている場合がありますが、この2013は、2013年版という意味です。
それまでは「ISO/IEC27001:2005」でしたが、2013年に規格改訂されて「ISO/IEC27001:2013」が現在の最新版となっています。
3.ISMSとISO27001の違いは?
ISMSとISO27001の違いとは、
組織の情報を守るための仕組み(ISMS)を指すのか、ISMSをどう構築し、どう運用すれば認証取得できるかを定めた要求事項(ISO27001)を指すのかという点です。
ISO27001を通称で「ISMS」と呼ぶ人も多く、ほとんど同じ意味として使われています。
認証名としてはISO27001が正しく、ISMSは通称です。
4.ISO27001(ISMS)とPマークの違いは?
プライバシーマーク(Pマーク)
日本で定められた個人情報保護の規格で、個人情報を適切に取り扱っている企業に対して付与されるマークです。
認定された企業は、日本情報経済社会推奨協会(JIPDEC)から認定されます。
ISMS(ISO27001)
ISMS(ISO27001)は国際標準規格ISO27001をもとに運用が行われる、国際規格です。
大切な情報が外に漏れないような仕組みを作って、実行している企業に対して付与されるマークです。
世界基準での情報セキュリティを承認される事になるため、国際的なやりとりを必要とする企業はISMS(ISO27001)を取得されるケースが多いです。
この2つの規格は、認証範囲にも大きな違いがあります。
プライバシーマーク(Pマーク)は、企業ごとの取得しか認められていないため、
必ず会社全体(全部署・全従業員)を認証範囲とします。
一方、ISMS(ISO27001)は「〇〇部だけで認証取得」「〇〇工場だけで認証取得」など認証範囲を設定することができます。
PマークISMSの違いについて、もっと詳しく比較しています。下記コラムをご覧ください。
5.クラウドセキュリティに関する規格:ISO27017とは
ISO27017とは、クラウドセキュリティの認証です。
ISO27017を取得することでクラウドセキュリティのマネジメントシステムが構築できます。
ISO27001を拡張し、クラウドコンピューティングに特化した要件を規定しています。
クラウドサービスを提供している企業は、ISO27017の認証を取得すると多くのメリットがあります。
下記リンクの記事では、ISMS(ISO27001)とISO27017の違いや、ISO27017を取得するための3つのポイントを紹介しています。
6.ISO27001認証取得のメリット
ISO27001取得のメリット・デメリットをご紹介します。
■メリット
⑴ 取引先や顧客から求められている要件を満たせる
取引条件にISO27001取得が含まれている場合は、取得することで取引できるようになります。その結果、「大きい案件を受注できた」「売上が上がった」というお声をいただくこともあります。
⑵入札に参加できるようになる
ISO27001取得が入札参加の条件になっている場合、取得することで入札に参加することができます。
⑶アピールになる
ISO27001を取得していることをホームページ・パンフレット・名刺に掲載し、信頼の材料として外部にアピールできます。
「競合・ライバル会社と差別化できるようになった」というケースもあります。
⑷体制が整う
ISO27001を取得するにあたり、手順や役割を明確にする必要があるため、組織の体制が整います。
⑸従業員の意識が向上する
社内周知や教育を行うことで、従業員の意識が向上します。
■デメリット
⑴お金がかかる
ISO27001を維持するとなると、毎年審査費用が発生します。
また、コンサル会社のサポートを利用する場合はサポート料もかかってくるでしょう。
⑵手間がかかる
ISO27001を取得するには、マニュアル作成・リスクアセスメント・内部監査・マネジメントレビューなどやることが発生します。
ISO27001取得の担当者はこれを一手に引き受けるので、負担が大きくなるケースも多くあります。
ISO27001取得のメリット・デメリットについてはこちらの記事で詳しく紹介しております。
7.ISO27001を取得する企業は、どんな業種が多いのか?
ISMS‐ACが公表している「ISMS適合性評価に関する調査報告書」によると、
一番多い業種は「情報技術」となっており、その次に「建設業」「卸売・小売業」の順になっています。
弊社のお客様でもやはり、IT・システム開発・ソフトウェア業界が多いです。
8.ISMS認証までの流れは?どれくらい期間が必要?
まず、ISMS認証までのおおよその流れは以下の通りです。
では、ISMSを認証するにはどのくらいの期間がかかるのでしょうか?
キックオフから認証完了まで、6か月~1年半程度と言われています。
認証パートナーのISMS新規認証サポートを利用いただいたお客様では、6か月程度で取得まで至るケースが多いです。
さらにスケジュールについて詳しく知りたい方はこちらもご参考ください。
9.ISMSを簡単に取得する方法はある?
取得準備の作業負担は専門家に任せ、運用の落とし込みは自社で実施することで、ISMSは比較的簡単に取得することができます。
自社で1から運用をしている企業のほとんどは、
文書や記録を作成する作業に時間を取られてしまっています。
ISMSを取得するにあたって、工数がかかる作業は専門家に任せ、一番力を入れるべき運用面については、
自社で時間をかけて落とし込みをしていくという「いいところ取り」をお勧めします。
当社は、取得までの工数を限りなく0に近づけ、本業に集中して頂けるよう企業の一員となってコンサルティングサポートをしております。お気軽にお問合せください。
ISMS(ISO27001)新規認証ついて
まとめ
ISMSとISO27001の違いは、
ISMSは「組織の情報を守るための仕組み」を指し、
ISO27001は「ISMSをどう構築し、どう運用すれば認証取得できるか定めた要求事項」
を指しています。
ただし、「ISO27001」を通称で「ISMS」と呼ぶ人も多く、ほとんど同じ意味として使われています。
認証名としてはISO27001が正しく、ISMSは通称です。
現在、企業様からの一番多いお問い合わせは、
「PマークとISMSのどちらを取得した方が良いのかわからない…」といった内容です。
プライバシーマークとISMS(ISO27001)は、同じような認証に見えて違いも多くあります。
単純に「個人情報が多いからプライバシーマーク」、「個人情報は少ないからISMS(ISO27001)」と簡単に決定するのはお勧めできません。相談したい方は是非ご連絡ください。無料でご相談承ります。
3,000社以上のサポート実績。
株式会社スリーエーコンサルティング
ISMS(ISO27001)新規認証の詳しいサポート内容についてはこちら
- SNSでシェア
- Tweet
ISO・Pマーク(プライバシーマーク)に関することなら
何でもお気軽にご相談ください
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!お問合せは
こちらから全国どこでもオンラインで対応!
気軽にご相談ください!相談予約は
こちらから
お電話受付:平日9:30〜17:00
認証パートナーのサービスご説明資料
8,000社以上の支援実績に裏付けされた、
弊社サービスの概要を紹介しております。
資料の内容
- ・当社のサポート内容
- ・規格の概要
- ・取得までに必要な審査費用
ISMS(ISO27001)認証パートナー
サービスのご案内
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
-
Pマーク
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。Pマークの認証ページへ -
ISO9001
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。ISO9001の認証ページへ -
ISMS・ISO27001
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。ISMS/ISO27001の認証ページへ -
ISO14001
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。ISO14001の認証ページへ -
ISO27017など各種対応規格
ISO27017やISO22000など各種規格もお得に 新規取得や運用・更新ができます。ご気軽にお見積りください。
ISO27017など各種対応規格ページへ -
複数規格の同時取得
ISOやプライバシーマークを同時に認証取得すると費用や工数を抑えることができます。安心してご相談ください
複数規格の同時取得ページへ