１．ISMSとは？

ISMSとは、情報セキュリティマネジメントシステム（Information Security Management System）を略して呼びやすくしたもので、組織の情報を守るためのシステム・仕組みを指します。
簡単に言うと、「情報を守る仕組み」のことです。

２．ISO27001とは？

ISO27001とは、ISMS（情報を守る仕組み）をどのように構築し運用するかを定めた要求事項（審査の基準）のことです。

ISO27001を取得することで、
「大切な情報が外に漏れないような仕組みを作って実行していますよ」
と示すことができます。
ISOは国際的な規格ですのでグローバルに通用します。

ちなみに「ISO/IEC27001」という表記を見かけることがあるかもしれませんが、

ISO/IEC27001は、ISO27001とほとんど同じ意味で、ISO27001の正式名称と捉えていただくといいでしょう。

IECとは、国際電気標準会議＝International Electrotechnical Commissionのことです。
IEC規格とは電気や電子に関する国際規格です。
ISO規格は電気・電子以外の分野の国際規格です。
「ISO/IEC」は、平たく言えば、ISOとIECが共同でつくった規格で、「電気部門のお墨付きですよ」というイメージです。

そして、「ISO/IEC27001:2013」と最後に数字がついている場合がありますが、この2013は、2013年版という意味です。

それまでは「ISO/IEC27001:2005」でしたが、2013年に規格改訂されて「ISO/IEC27001:2013」が現在の最新版となっています。

３．ISMSとISO27001の違いは？

ISMSは「仕組み」なのに対し、ISO27001は「要求事項」ですので比較するものではありません。
が、ISO27001を通称で「ISMS」と呼ぶ人も多く、ほとんど同じ意味として使われています。
認証名としてはISO27001が正しく、ISMSは通称です。

４．ISO27001認証取得のメリット

ISO27001取得のメリット・デメリットをご紹介します。

■メリット

① 取引先や顧客から求められている要件を満たせる
取引条件にISO27001取得が含まれている場合は、取得することで取引できるようになります。その結果、「大きい案件を受注できた」「売上が上がった」というお声をいただくこともあります。

②入札に参加できるようになる
ISO27001取得が入札参加の条件になっている場合、取得することで入札に参加することができるようになります。

③アピールになる
ISO27001を取得していることをホームページ・パンフレット・名刺に掲載し、信頼の材料として外部にアピールできるようになります。
「競合・ライバル会社と差別化できるようになった」というケースもあります。

④体制が整う
ISO27001を取得するにあたり、手順や役割を明確にする必要があるため、組織の体制が整います。

⑤従業員の意識が向上する
社内周知や教育を行うことで、従業員の意識が向上します。

■デメリット

①お金がかかる
ISO27001を維持するとなると、毎年審査費用が発生します。
また、コンサル会社のサポートを利用する場合はサポート料もかかってくるでしょう。

②手間がかかる
ISO27001を取得するには、マニュアル作成・リスクアセスメント・内部監査・マネジメントレビューなどやることが発生します。
ISO27001取得の担当者はこれを一手に引き受けるので、負担が大きくなるケースも多くあります。

ISO27001取得のメリットについてはこちらの記事で詳しく紹介しております。

ISMS(ISO27001)の必要性は？取得のメリット・デメリットを紹介

５．ISO27001を取得する企業は、どんな業種が多いのか？

ISMS‐ACが公表している「ISMS適合性評価に関する調査報告書」によると、

一番多い業種は「情報技術」となっており、その次に「建設業」「卸売・小売業」の順になっています。

弊社のお客様でもやはり、IT・システム開発・ソフトウェア業界が多いです。

６．ISMS認証までの流れは？どれくらい期間が必要？

まず、ISMS認証までのおおよその流れは以下の通りです。

では、ISMSを認証するにはどのくらいの期間がかかるのでしょうか？
キックオフから認証完了まで、６か月～１年半程度と言われています。
認証パートナーのISMS新規認証サポートを利用いただいたお客様では、６か月程度で取得まで至るケースが多いです。

さらにスケジュールについて詳しく知りたい方はこちらもご参考ください。
ISO27001取得スケジュール│７ステップ

７．ISMSを簡単に取得する方法はある？

「ISMS（ISO27001）取得って難しそう…」
「ルールをたくさん作るってことは現場に負担がかかるのでは？」
と思う人は多いでしょう。

結論から言うと、現場に負担をかけずに簡単に取得することができます。
３つの理由を説明しますね。

1つ目は「ルールの自由度が高いこと」です。
ルールの基準を自分たちで決めることができるので、自分たちのできる範囲でルールを作り、現場への負担を最小限にすることができます。

2つ目は「認証範囲を設定できること」です。
全社・全従業員・全拠点を対象にしなければならないプライバシーマーク（Pマーク）と異なり、ISO27001は「本社のみ」「〇〇支社のみ」「〇〇事業部のみ」などと対象の範囲を設定することができるので、必要な範囲に絞って取得できます。

3つ目は「コンサル会社によるサポート」の存在です。
ISO27001の取得において、「自社の人手だけで取得する」という企業は今の時代ほとんど聞かなくなりました。
コンサル会社のサポートを利用することで、WEBサイトや書籍には載っていない最新情報やノウハウを取り入れることができますし、書類作成を請け負ってくれるので、自社の負担を少なくできます。
また、自社リソースのみだとどうしても「固定概念や今までのルールをそのまま継続して変えない」という状況も発生しますが、コンサルを活用することで時代に則した柔軟な対応ができるでしょう。

８．ISO27001取得にかかる費用

取得にはまず、

①審査を受けるための費用が必ず必要になってきます。
また、コンサル会社のサポートを利用する場合は

②コンサルティング費用もかかってきます。

①審査を受けるための費用

審査機関による審査を受けるのに必要な費用は
・文書審査料
・実地審査料（現地審査料）
・ISO登録料
があります。
また、審査員の移動のための交通費や宿泊代なども請求されます。
これら全てが支払われて初めて「登録」となるため、忘れずに支払わなければなりません。

また、審査料は、申請する審査機関、会社の規模（従業員数）、適用範囲、業種などによって金額が変動します。

複数の審査機関に見積りをとって比較してみることをおすすめします。

審査機関の選定についてはこちらの記事で詳しく説明しております。
審査機関の選定

②コンサルティング費用

「早く取得したい」「知識がない」「通常業務で忙しい」などの理由でコンサル会社のサポートを利用する場合、コンサルティング費用もかかってきます。

弊社の認証パートナーの場合、月額４万円～でISO27001新規取得をお手伝いします。
お見積りをご希望の方は、こちらからお問合せください。

費用についてさらに知りたい方はこちらの記事もご覧ください。
ISMS（ISO27001）新規取得費用いくら見ればいいの？

９．ISO27001認証支援コンサル会社を選定するポイント

ポイントは３つです。

①どこまでサポートしてもらえるか
コンサル会社によっては「アドバイスだけで書類作成など作業は請け負ってもらえない」というケースもあります。
「忙しいからコンサルのサポートをお願いしたのに結局負担が減らなかった」ということにならないよう、何をどこまでやってもらえるのか確認しましょう。

②会社の信用度／実績はどれぐらいあるのか
新興コンサル会社も多くありますが、これまでの実績がどれぐらいなのかというのを確認しましょう。
実績が多いコンサル会社は、「ノウハウや事例が豊富」「審査についてもたくさん情報を持っている」ということです。

実績もチェックしてみるとよいでしょう。

③価格
最後に、サポートにかかる金額です。サポート内容に見合った金額か考慮しましょう。複数のコンサル会社に相見積もりをとってみるのもいいでしょう。

まとめ

ISMSとは、「組織の情報を守るための仕組み」のことです。
ISO27001とは、「ISMSをどう構築し、どう運用すれば認証取得できるか定めた要求事項」を指します。
ISMSは「仕組み」なのに対し、ISO27001は「要求事項」ですので比較するものではありません。
ただ、「ISO27001」を通称で「ISMS」と呼ぶ人も多く、ほとんど同じ意味として使われています。

認証名としてはISO27001が正しく、ISMSは通称です。