１．ISMSとは？

ISMSとは、情報セキュリティマネジメントシステム（Information Security Management System）を略して呼びやすくしたもので、組織の情報を守るためのシステム・仕組みを指します。
簡単に言うと、「情報を守る仕組み」のことです。

組織内の情報セキュリティに関する方針や手順をつくることで、情報セキュリティを維持するための仕組みを構築していきます。

 

２．ISO27001とは？

ISO27001とは、ISMS（情報を守る仕組み）をどのように構築し運用するかを定めた要求事項（審査の基準）のことです。
ISO27001を取得することで、
「大切な情報が外に漏れないような仕組みを作って実行していますよ」
と示すことができます。
ISOは国際的な規格ですのでグローバルに通用します。

ちなみに「ISO/IEC27001」という表記を見かけることがあるかもしれませんが、
ISO/IEC27001は、ISO27001とほとんど同じ意味で、ISO27001の正式名称と捉えていただくといいでしょう。

IECとは、国際電気標準会議＝International Electrotechnical Commissionのことです。
IEC規格とは電気や電子に関する国際規格であり、ISO規格は電気・電子以外の分野の国際規格です。
「ISO/IEC」は、平たく言えばISOとIECが共同でつくった規格で、「電気部門のお墨付きですよ」というイメージです。

そして、「ISO/IEC27001:2013」と最後に数字がついている場合がありますが、この2013は、2013年版という意味です。

それまでは「ISO/IEC27001:2005」でしたが、2013年に規格改訂されて「ISO/IEC27001:2013」が現在の最新版となっています。

 

３．ISMSとISO27001の違いは？

ISMSとISO27001の違いとは、
組織の情報を守るための仕組み(ISMS)を指すのか、ISMSをどう構築し、どう運用すれば認証取得できるかを定めた要求事項（ISO27001）を指すのかという点です。

ISO27001を通称で「ISMS」と呼ぶ人も多く、ほとんど同じ意味として使われています。
認証名としてはISO27001が正しく、ISMSは通称です。

 

４．ISO27001（ISMS）とPマークの違いは？

プライバシーマーク（Pマーク）
日本で定められた個人情報保護の規格で、個人情報を適切に取り扱っている企業に対して付与されるマークです。
認定された企業は、日本情報経済社会推奨協会（JIPDEC）から認定されます。

ISMS（ISO27001）
ISMS（ISO27001）は国際標準規格ISO27001をもとに運用が行われる、国際規格です。
大切な情報が外に漏れないような仕組みを作って、実行している企業に対して付与されるマークです。

世界基準での情報セキュリティを承認される事になるため、国際的なやりとりを必要とする企業はISMS（ISO27001）を取得されるケースが多いです。

 

この２つの規格は、認証範囲にも大きな違いがあります。
プライバシーマーク（Pマーク）は、企業ごとの取得しか認められていないため、
必ず会社全体（全部署・全従業員）を認証範囲とします。
一方、ISMS（ISO27001）は「〇〇部だけで認証取得」「〇〇工場だけで認証取得」など認証範囲を設定することができます。

PマークISMSの違いについて、もっと詳しく比較しています。下記コラムをご覧ください。
【結論】どっちを取得するのがいい！？PマークとISMSの違いを徹底比較！

５．クラウドセキュリティに関する規格：ISO27017とは

ISO27017とは、クラウドセキュリティの認証です。
ISO27017を取得することでクラウドセキュリティのマネジメントシステムが構築できます。
ISO27001を拡張し、クラウドコンピューティングに特化した要件を規定しています。

クラウドサービスを提供している企業は、ISO27017の認証を取得すると多くのメリットがあります。

下記リンクの記事では、ISMS（ISO27001）とISO27017の違いや、ISO27017を取得するための３つのポイントを紹介しています。
ISO27017：クラウドセキュリティ認証取得の手順やポイントを解説

 

６．ISO27001認証取得のメリット

ISO27001取得のメリット・デメリットをご紹介します。

■メリット
⑴ 取引先や顧客から求められている要件を満たせる
取引条件にISO27001取得が含まれている場合は、取得することで取引できるようになります。その結果、「大きい案件を受注できた」「売上が上がった」というお声をいただくこともあります。

⑵入札に参加できるようになる
ISO27001取得が入札参加の条件になっている場合、取得することで入札に参加することができます。

⑶アピールになる
ISO27001を取得していることをホームページ・パンフレット・名刺に掲載し、信頼の材料として外部にアピールできます。
「競合・ライバル会社と差別化できるようになった」というケースもあります。

⑷体制が整う
ISO27001を取得するにあたり、手順や役割を明確にする必要があるため、組織の体制が整います。

⑸従業員の意識が向上する
社内周知や教育を行うことで、従業員の意識が向上します。

 

■デメリット
⑴お金がかかる
ISO27001を維持するとなると、毎年審査費用が発生します。
また、コンサル会社のサポートを利用する場合はサポート料もかかってくるでしょう。

⑵手間がかかる
ISO27001を取得するには、マニュアル作成・リスクアセスメント・内部監査・マネジメントレビューなどやることが発生します。
ISO27001取得の担当者はこれを一手に引き受けるので、負担が大きくなるケースも多くあります。

 

ISO27001取得のメリット・デメリットについてはこちらの記事で詳しく紹介しております。
ISMS(ISO27001)の必要性は？取得のメリット・デメリットを紹介

 

７．ISO27001を取得する企業は、どんな業種が多いのか？

ISMS‐ACが公表している「ISMS適合性評価に関する調査報告書」によると、
一番多い業種は「情報技術」となっており、その次に「建設業」「卸売・小売業」の順になっています。
弊社のお客様でもやはり、IT・システム開発・ソフトウェア業界が多いです。

 

８．ISMS認証までの流れは？どれくらい期間が必要？

まず、ISMS認証までのおおよその流れは以下の通りです。

では、ISMSを認証するにはどのくらいの期間がかかるのでしょうか？
キックオフから認証完了まで、６か月～１年半程度と言われています。
認証パートナーのISMS新規認証サポートを利用いただいたお客様では、６か月程度で取得まで至るケースが多いです。

さらにスケジュールについて詳しく知りたい方はこちらもご参考ください。
ISO27001取得スケジュール│７ステップ

 

９．ISMSを簡単に取得する方法はある？

取得準備の作業負担は専門家に任せ、運用の落とし込みは自社で実施することで、ISMSは比較的簡単に取得することができます。

自社で１から運用をしている企業のほとんどは、
文書や記録を作成する作業に時間を取られてしまっています。

ISMSを取得するにあたって、工数がかかる作業は専門家に任せ、一番力を入れるべき運用面については、
自社で時間をかけて落とし込みをしていくという「いいところ取り」をお勧めします。

当社は、取得までの工数を限りなく0に近づけ、本業に集中して頂けるよう企業の一員となってコンサルティングサポートをしております。お気軽にお問合せください。
ISMS（ISO27001）新規認証ついて

 

まとめ

ISMSとISO27001の違いは、
ISMSは「組織の情報を守るための仕組み」を指し、
ISO27001は「ISMSをどう構築し、どう運用すれば認証取得できるか定めた要求事項」
を指しています。

ただし、「ISO27001」を通称で「ISMS」と呼ぶ人も多く、ほとんど同じ意味として使われています。
認証名としてはISO27001が正しく、ISMSは通称です。

現在、企業様からの一番多いお問い合わせは、
「PマークとISMSのどちらを取得した方が良いのかわからない…」といった内容です。
プライバシーマークとISMS（ISO27001）は、同じような認証に見えて違いも多くあります。
単純に「個人情報が多いからプライバシーマーク」、「個人情報は少ないからISMS（ISO27001）」と簡単に決定するのはお勧めできません。相談したい方は是非ご連絡ください。無料でご相談承ります。

3,000社以上のサポート実績。
株式会社スリーエーコンサルティング
ISMS（ISO27001）新規認証の詳しいサポート内容についてはこちら