１．ISO27001（ISMS）とは？

ISO27001とは、「企業が取得するために満たすべき要件」を示すものです。

一方、ISMSとは、情報セキュリティマネジメントシステムそのものを指します。

ISO27001には、構築のための方法や手順が「要求事項」として定められています。企業は、これらの要求事項に従って社内に情報管理システムを構築し、運用することで、ISO27001を取得できるようになります。

また、ISO27001の目的は、情報セキュリティにおいて「機密性」「完全性」「可用性」の3つの要素をバランスよく向上させ、管理することにあります。これらの要素のバランスが崩れると、情報セキュリティが低下するだけでなく、日常業務にも支障が生じる可能性があります。

（1）【機密性（Confidentiality）】

機密性とは、情報が正当な権限を持つ者以外に漏えいせず、適切に保護されることを指します。

通常、認証、アクセス制御、暗号化などの技術を用いて機密性を確保します。

機密性を維持することで、外部からの侵入を防ぎ、情報漏洩や紛失、破損のリスクを低減することが可能です。

（2）【完全性（Integrity）】

完全性とは、情報が正確で一貫性のある状態で保持され、伝達されていることを意味します。

これにより、データが誤って変更されたり、不正に改ざんされたりすることを防ぎます。

完全性が損なわれると、情報の正確さや信頼性が失われます。つまり、情報が正確で、最新であり、欠落がない状態を保つことが重要です。

（3）【可用性（Availability）】

可用性とは、情報システムが適切なタイミングで適切な人々によってアクセス可能であり、必要なリソースが適切に提供される状態を指します。

可用性が確保されている状態とは、以下の条件などが満たされていることを意味します。

• システムのダウンタイムが最小限に抑えられている。
• システムが適切なパフォーマンスで稼働している。
• データが必要なタイミングでアクセス可能である。

機密性・完全性・可用性について、詳しくは以下をご参照ください。

あわせて読みたい記事

【入門】機密性・完全性・可用性を徹底解説！情報セキュリティの3要素CIAとは

１．情報セキュリティの3要素「機密性」「完全性」「可用性」とは ISMS（ISO27001）では機密性、完全性、可用性と呼ばれる3つの要素を保持できる体制構築を求められています。重要な情報の改ざんや滅…

２．ISO27001とISMSの違い

ISO27001は、情報セキュリティマネジメントシステム（ISMS）の国際規格であり、情報セキュリティの「管理方法や手順を定めた標準」です。

一方、ISMSとは、組織が情報セキュリティを管理するための「フレームワークやプロセス全体」を指します。

つまり、ISO27001は、ISMSを構築・運用するための具体的なガイドラインや要件を提供するものであり、ISMSはそのガイドラインに基づいて実際に運用されるマネジメントシステムです。

認証の正式名称はISO27001ですが、一般的にはISMSと呼ばれることもあります。

ISO27001とISMSの違いについて、詳しくは以下をご参照ください。

あわせて読みたい記事

ISMSとISO27001の違いは？PマークやISO27017との違いも解説

１．ISMSとは？ ISMSとは、情報セキュリティマネジメントシステム（Information Security Management System）を略して呼びやすくしたもので、組織の情報を守るため…

３．ずばりISO27001で要求されることとは？

ISO27001で要求されていることは、大きく分けて、①「構築」→②「運用」→③「改善」の3点です。

要求事項を満たすことがこの①〜③のサイクルを回すことに繋がります。

ISO27001を取得するためには、要求事項に沿った運用が求められます。例えば、「方針の掲示」、「内部監査の実施」、「マネジメントレビューの実施」などが、実施項目として挙げられます。

４．ISO27001の要求事項とは？

「要求事項」とは、ISMS(ISO27001)の中で求められている「ISMS(ISO27001)を取得するために企業が実現するべき要件」のことを指します。

ISMS(ISO27001)の具体的な要求事項は、10項にまとめられています。

• 0項　 　序文
• 1項　　 適用範囲
• 2項　 　引用規格
• 3項　 　用語及び定義
• 4項　 　組織の状況
• 5項　 　リーダーシップ
• 6項　　 計画
• 7項　 　支援
• 8項　 　運用
• 9項　　 パフォーマンス評価
• 10項 　 改善

0項〜10項の項目はISMS(ISO27001)本文で求められているもので、どんな組織でも必ず適用させることがもとめられている内容です。

・付属書Ａ(管理策)
管理策とは、特定のリスクを目的とした対策を示したガイドラインのようなものでリスク評価をし、どの管理策を当てはめて対応していくのかを決めます。

５．主要なISO27001の要求事項の解説

ISO27001の主要な要求事項では、どんなことが要求されているのか、順番にみていきましょう。

1. ４項　組織の状況
   組織内外の課題や利害関係者のニーズ把握を行った上で、適用範囲を決めることが要求されています。組織内の場合、従業員の声やニーズ等を、組織外の場合は、取引先だけでなく外注先や購買先等を、広く定義しています。
2. ５項　リーダーシップ
   適用範囲の中で組織を指揮する最高責任者がコミットメントしないといけないということが要求されています。コミットメントとは、「約束を必ず果たす」ということです。担当者まかせではなく、最高責任者がリーダーシップを発揮しなければなりません。
3. ６項　計画
   PDCAサイクルの『P』の部分です。リスクアセスメントを行い、情報セキュリティの目的とそれを達成するための計画を作るよう、求められています。※PDCAサイクル＝Plan（計画）、Do（実行）、Check（評価）、Action（改善）の頭文字を取ったものです。
4. ７項　支援
   どのような知識、経験等を持つ必要があるかを定め、担当者がその知識を有しているかを確認しなければなりません。もし、力量が不足していると判断された場合は、教育など、何らかの処置を講じる必要があります。
5. ８項　運用
   PDCAサイクルの『D』の部分です。６項で定めたリスクアセスメントやリスク対応を実施するため、計画、実施、管理が必要です。また、実施するだけでなく、計画通り実行できているのか、確認が取れる状態にあるかを文書として作成する必要があります。
6. ９項　パフォーマンス評価
   PDCAサイクルの『C』の部分です。パフォーマンス及び有効性評価を定めています。評価を行うためプロセスと管理策、監視、測定、分析及び評価方法、実施時期、評価時期の決定が必要です。また、「内部監査」と「マネジメントレビュー」も規定されています。
7. １０項　改善
   PDCAサイクルの『A』の部分です。不適合が発生した場合の是正処置（再発防止への対応）の手順を明確にし、修正（適合の状態に戻す対応）と、その結果の影響を把握し、フォローし、記録しなければなりません。

６．ISO27001要求事項のポイント

（1）情報セキュリティ目的と情報セキュリティ方針の策定

ISO27001を構築する際には、まずトップマネジメント（経営層や管理職）が、基準となる「情報セキュリティ方針」と、構築に向けて達成すべき「情報セキュリティ目的」の2つを決定する必要があります。

・情報セキュリティ方針
情報セキュリティ方針とは、より安全で安心して利用できる情報セキュリティの指針を定めることです。

システムの構築時において、情報セキュリティが確保されているかを確認し、安全性を維持する必要があります。

・情報セキュリティ目的
情報セキュリティ目的とは、情報セキュリティ方針に基づき設定される具体的な目標です。

認証取得が目的とならないように注意し、あくまでも情報セキュリティの向上と、悪意ある第三者からの攻撃を防ぐことを重視すべきです。

（2）情報セキュリティリスクアセスメントの実施

情報セキュリティリスクアセスメントでは、企業が保有する情報資産に対するリスクを特定し、分析・評価を行います。

特定されたリスクに対して対応するかどうか、またどのように対応するかを決定します。

このリスクマネジメントは、情報セキュリティマネジメントシステムを構築する上で非常に重要です。

重大なリスクを見逃したり、分析の結果として対応が不要と判断したりすると、適切な対処法を定められず、有効なマネジメントシステムの構築が困難になる可能性があります。

そのため、リスクアセスメントの実施は、情報資産の適切な取り扱いにおいて重要な役割を果たします。

（3）PDCAサイクルの継続

ISO規格においては、PDCAサイクルの継続的な循環による改善が強調されています。

マネジメントシステムは一度構築すれば完了というものではないためです。

構築当初は最適と思われたマネジメントシステムも、時間の経過とともに新しい技術の登場や社会的な価値観の変化により、変更が必要になることがあります。

したがって、常にPDCAサイクルを継続し、情報セキュリティの向上に努めることが求められます。

７．ISO27001の付属書Aとは？

ISO27001の附属書Aは、情報セキュリティ管理のフレームワークとして、組織が考慮すべき管理策をまとめたものです。この附属書は、ISO27002の指針に基づいており、管理策の実践を支援するための規範を示しています。

ISO27001では、情報セキュリティリスクを管理するための具体的な管理策が、組織的、人的、物理的、技術的の4つのカテゴリに分けて定められており、これらの管理策の詳細はISO/IEC27002で説明されています。

• 【組織的管理策】
  情報セキュリティの組織的な運用管理に関する管理策が含まれます。
  具体的には、情報セキュリティの役割と責任の明確化や、サプライヤーとの関係管理などが該当します。
• 【人的管理策】
  従業員や契約社員に対する情報セキュリティ管理に関連する管理策です。
  入社時のセキュリティ研修や、契約終了時のアクセス権限の取り消しなどが含まれます。
• 【物理的および環境的管理策】
  情報資産を物理的に保護するための管理策が含まれます。
  施設の入退室管理、機器の適切な配置や廃棄、環境リスク（火災、浸水など）の管理が該当します。
• 【技術的管理策】
  情報システムやネットワークのセキュリティを技術的に保護するための管理策です。
  アクセス制御、暗号化、ウイルス対策、システムの監視などが含まれます。

８．ISO27001:2013とISO27001:2022の改訂内容

規格改訂とは、社会情勢や状況、環境の変化に対応して、ルールを現状に適合させるために変更することを指します。

原則として、規格は5年ごとに見直すことが求められていますが、実際に5年ごとに改正される例は少ないです。

ISO27001は国際規格として2005年に初版が発行され、2013年に第二版が登場し、今回、2022年に最新版である『ISO/IEC 27001:2022』が公表されました。

ここでいう「2022」とは、英語で記載された原書の発行年を指し、その後に日本語への翻訳作業が行われます。

JIS Q 27001の最新版はJIS Q 27001:2023です。

旧規格のISO27002では、A.5〜A.18までの14項目にわたる114の管理策が設けられていました。

しかし、新規格ではA.5〜A.8の4項目に絞り込まれ、93の管理策に変更されています。

具体的な管理策の変更点は以下の通りです。

• 新規：11
• 統合：24
• 更新：58
• 削除：0

114の管理策から93の管理策に減少したように見えますが、新たに11の管理策が追加されたため、実質的には内容が増えています。

ISMS（ISO27001）の規格改訂について、詳しくは以下をご参照ください。

あわせて読みたい記事

【2024年最新】ISO27001規格改訂に伴う変更点を徹底解説

１.そもそもISO27001とは何か？ [images_50] [/images_50] ISO/IEC 27001は、情報セキュリティマネジメントシステム（ISMS）の国際規格です。 この規格は、組…

９．ISO 27001（ISO/IEC 27001）の要求事項をダウンロード（購入）するには？

ISO 27001（ISO/IEC 27001）の要求事項は、一般財団法人日本規格協会の書籍販売サイトで購入できます。

このサイトでは、ISO 27001（ISO/IEC 27001）をはじめ、さまざまなISO規格が入手可能です。

サイトにアクセス後、画面左側の「規格・書籍・物品を探す」から「ISO規格」を選択し、検索窓に「27001」と入力して「検索する」をクリックしてください。これで、ISO 27001（ISO/IEC 27001）の規格を購入できるページへと移動します。

一般財団法人日本規格協会の書籍販売サイト：https://webdesk.jsa.or.jp/

１０．ISO27001の取得・維持更新のためにするべきこと４つ

（1）ISO27001の要求事項に沿ってISMSを構築すること

ISMS（ISO27001）には、次の10項目の要求事項が定められており、これに基づいて自ら手順を策定し、マネジメントシステムを構築することが求められています。
・0項　 　序文
・1項　　 適用範囲
・2項　 　引用規格
・3項　 　用語及び定義
・4項　 　組織の状況
・5項　 　リーダーシップ
・6項　　 計画
・7項　 　支援
・8項　 　運用
・9項　　 パフォーマンス評価
・10項 　 改善
それぞれの要求事項の解説については、「５．主要なISO27001の要求事項の解説」をご覧ください。

（2）ISMSの体制を整備し、運用すること

ISMS（ISO27001）を導入する際には、まず管理責任者などの役割を任命する必要があります。

体制を整え、舵を取る人やそれをサポートする人を配置し、システムの構築が完了したら、運用へと移行します。

運用については、構築したルールに沿って実行しますが、運用に漏れがないか、ルールに問題がないかを内部監査で再確認しましょう。

また、審査では運用の記録が確認されるため、実施した運用記録は適切に保管してください。

審査を受けるにあたっては、2つの事項を決定する必要があります。

1つ目は審査機関です。

国内にはISOの審査機関が50以上あります。最低でも2社以上から見積もりを取り、窓口に連絡するなどして適切な審査機関を選定しましょう。

2つ目は認証範囲です。

ISOの場合、1つの部署や一部の拠点でも認証を取得することが可能です。

例えば、「総務部だけ」、「〇〇支店だけ」、「本社だけ」といったように、一部の範囲で認証を取得している企業も多くあります。どの範囲で認証を取得するかを決め、審査の際には、登録対象となる業務内容を明確に文書化して依頼する必要があります。

なお、ISMS（ISO27001）と同時に検討されることが多いプライバシーマーク（Pマーク）については、部署や拠点を限定しての認証はできません。

プライバシーマーク（Pマーク）の付与は法人単位で行われ、全従業者を適用範囲としなければなりません。

プライバシーマークとISMSの違いについて、詳しくは以下をご参照ください。

あわせて読みたい記事

【結論】どっちを取得するのがいい！？PマークとISMSの違いを徹底比較！

１．PマークとISMSの概要 (1) Pマーク（プライバシーマーク） 個人情報の適切な取扱いを行う事業者として認定されたら付与されるマークです。 「プライバシーマーク」が正式名称ですが、「Pマーク（ピ…

（3）審査の費用を支払うこと

審査を受けた場合や無事にISOの認証が下りた場合には、審査機関に対する費用の支払いが発生します。費用を支払わなければ、ISOに登録することはできません。

審査機関から請求があった際は、速やかに対応しましょう。

（4）審査時に不適合が出た場合は、期間内で是正処置を完了すること

審査で不適合が見つかった場合、それを放置してしまうと審査が完了せず、ISO認証を取得することはできません。

また、不適合が発生した際には、審査機関の規定に基づいた是正期間や指定されたフォーマットがあります。

審査員の指示に従い、是正処置を行い、期間内に完了させるようにしましょう。

１１．審査で不適合になるケースと対処

「審査で落とされることはあるのか？」という疑問を持つ方も少なくないと思いますが、審査で「重大な不適合」と判断された場合、実際に審査に“落ちる”ことはあります。

不適合には「重大な不適合」と「軽微な不適合」の2種類があります。

運用の一部が漏れていたり、マネジメントシステム上大きな問題がない場合は「軽微な不適合」として是正処置を行えばよいのですが、「重大な不適合」と判断された場合、審査が中断されたり、継続できなくなります。

「重大な不適合」となるケースは、構築したルールがISO27001の要求事項に沿っていない場合や、ルールが構築されていても運用ができていない場合（特に、内部監査やマネジメントレビュー）など、改善の余地がないと審査員が判断した場合です。

「１０．ISO27001の取得・維持更新のためにするべきこと４つ」にも記載されている、以下の2点を確実に実施し、審査に臨みましょう。

1. 要求事項に沿った情報セキュリティマネジメントシステム（ISMS）の構築
2. 情報セキュリティマネジメントシステムの体制整備とその運用

まとめ

ISO27001（ISMS）を取得するには、情報セキュリティマネジメントシステムを構築し、運用すること、審査費用を支払うこと、審査で出た不適合は是正処置を行うこと、この4つの条件が必要です。

構築や運用など、審査を受ける前にやるべきことがたくさんありますので、一度コンサルティング会社に相談してみるのもいいでしょう。

ISO・Pマーク認証更新でお悩みの方へ

認証パートナーは、8000社を超える企業様に認証率100%で支援してきた実績と経験豊富なコンサルタントの知見を活かし、お客様の目標達成を全力でサポートいたします。
アドバイスや取り次ぎだけでなく、書類作成や監督に向けての準備、年々変化するルールへの対応まで、お客様のパートナーとして共に歩んでまいります。
認証取得したいけれど、何をすれば良いか分からない方も、まずはお気軽にご相談ください。

• 無料相談はこちら▶️
• 見積もり依頼はこちら▶️