ISMS審査合格率100%

0120-068-268
お電話受付:平日9:30〜18:30

ISMS(ISO27001)認証お役立ちコラム

ISMS(ISO27001)の要求事項とは?

2021年10月21日

ISMS(ISO27001)の要求事項とは?

ISMS(ISO27001)の要求事項とは、「情報を安全に守るためにこういうことをやりましょう」という基本要件のことです。
ISMS(ISO27001)認証取得のためには、この要求事項に沿って情報セキュリティマネジメントシステムを構築しなければなりません。

1.ISMS(ISO27001)の要求事項とは?

要求事項とは、その規格で求められている条件のことです。

ISMSの審査では、この要求事項に適合しているかを審査員に確認されます。

ISMSにおいては、下記の通り10項目の要求事項が定められています。

1項 適用範囲
2項 引用規格
3項 用語及び定義
4項 組織の状況
5項 リーダーシップ
6項 計画
7項 支援
8項 運用
9項 パフォーマンス評価
10項 改善

2.それぞれの要求事項を理解しよう

それぞれの要求事項について解説していきます。
主要な要求事項にしぼりますので、1項~3項、7項、9項、10項については今回は割愛します。

【4項】組織の状況

組織内外の課題や利害関係者のニーズ把握を行った上で適用範囲を決めることが要求されています。
組織内でしたら従業員の声やニーズなど、組織外でしたら取引先だけでなく外注先、購買先など広く定義されています。

【5項】リーダーシップ

適用範囲の中で組織を指揮する最高責任者がコミットメントしないといけないということが要求されています。
コミットメントとは、「約束を必ず果たす」ということです。
担当者まかせではなく、最高責任者がリーダーシップを発揮しなければなりません。

【6項】計画

PDCAサイクルの『P』の部分にあたります。

リスクアセスメントを行い、情報セキュリティの目的とそれを達成するための計画を作るよう求められています。

【8項】運用

PDCAサイクルの『D』の部分にあたります。

組織は要求事項を満たすため、そして、6項で定めたリスクアセスメントやリスク対応を実施するために、ISMSの活動を計画、実施、管理していく必要があります。
これはただ計画して実行するだけではなく、本実質的に計画通り実行できているのか、また確認が取れる状態にあるかを文書として作成する必要があると要求されています。

プロのコンサルタントがお悩みをお伺いします。
お気軽にご相談ください。

3.構築でのよくあるミス

ISMS(27001)を構築する上でよくあるミスは

・要求されている記録が作成されていない
・自社にあったルールが構築できていない

ということです。
すべての管理策を満たそうとするのではなく、自社と規格要求事項を照らし合わせてISMS(27001)を構築しましょう。

まとめ

ISMS(ISO27001)における要求事項とは、その規格で求められている基本要件のことです。

ISMSにおいては、10項目の要求事項が定められており、 審査では、この要求事項に適合しているかを審査員から確認されます。

要求事項に沿ってルールを作るときは、守れないような厳しいルールをつくるのではなく、組織に合ったルール作りを心がけましょう。

こちらの記事でもISMS(ISO27001)について詳しく解説しておりますので是非ご覧ください。
ISMS(ISO27001)認証について徹底解説

プロのコンサルタントがお悩みをお伺いします。
お気軽にご相談ください。

ISO・Pマーク(プライバシーマーク)に関することなら
何でもお気軽にご相談ください

認証パートナーロゴ

0120-068-268
お電話受付:平日9:30〜18:30

5営業日以内にお届け!

新規取得・運用別に
役立つ資料をお届けします

新規認証や運用・更新にあたって当社が何を請け負うか、
わかりやすい資料でご検討の参考にしてください。

役立つ資料をお届け

ISMS(ISO27001)認証パートナー
サービスのご案内

認証パートナーロゴ

認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。