ISMS審査合格率100%

0120-068-268
お電話受付:平日9:30〜18:30

ISMS(ISO27001)認証お役立ちコラム

ISMS(ISO27001)の取得・維持更新に必要な要求事項と4つの条件

2022年6月9日

ISMS(ISO27001)の取得・維持更新に必要な要求事項と4つの条件

ISMS(ISO27001)では、10項からなる要求事項と、付属書Aと呼ばれる管理策の要求事項の2つがあります。
ISMS(ISO27001)の取得・維持更新において、要求事項を満たしていることが必須ですが、そこで気を付けるべき4つの条件も満たしておきましょう。

1.ISMSとは?

ISMSとは、情報セキュリティマネジメントシステムといいます。

組織内で取扱う「情報」という資産に対して個別の対応策及びリスクアセスメントによるセキュリティレベルを決定して

システム運用をすることと「情報」の『機密性』『完全性』『可用性』をバランスよく維持し、改善することでリスクを適切に管理できていることを示しています。

詳しくはこちらのコラムもご覧ください。

ISMS(ISO27001)とは?概要を分かりやすく説明

 

2.ISMSの要求事項

「要求事項」とは、ISMS(ISO27001)の中で求められている「ISMS(ISO27001)を取得するために企業が実現するべき要件」のことを指します。

ISMS(ISO27001)の具体的な要求事項は以下です。

 

0項  序文

1項  適用範囲

2項  引用規格

3項  用語及び定義

4項  組織の状況

5項  リーダーシップ

6項  計画

7項  支援

8項  運用

9項  パフォーマンス評価

10項 改善

 

0項~10項の項目はISMS(ISO27001)本文で求められているもので、

どんな組織でも必ず適用させることがもとめられている内容です。

 

付属書A(管理策)

管理策とは、特定のリスクを目的とした対策を示したガイドラインのようなもので

リスク評価をし、どの管理策を当てはめて対応していくのかを決めます。

管理策は、全部で114項目あり、全てを適用させなければならないという事はないです。

組織の適用業務で該当する内容に関してのみ、適用をしていれば大丈夫です。

3.ISMS(ISO27001)取得での4つの条件とは

ISMS(ISO27001)の取得において、以下の条件が満たされなければ認証は出来ません。

 

①ISMS(ISO27001)の要求事項に沿って情報セキュリティマネジメントシステムを構築していること

②情報セキュリティマネジメントシステムの体制が整備され、運用をしていること

③審査の費用を支払うこと

④審査時に不適合が出た場合は期間内で是正処置を完了させること

 

各条件の具体的な内容を次項で説明していきます。

 

4.ISMS(ISO27001)取得・維持更新のためにするべきこと

ここでは各条件で具体的に何をすべきかについて解説します。

 

①ISMS(ISO27001)の要求事項に沿って情報セキュリティマネジメントシステム(ISMS)を構築していること

2.ISMSの要求事項でも説明した通り、ISMS(ISO27001)には次のように10項目の要求事項が定められており、自分たちで手順を定めてマネジメントシステムを構築することが求められています。

 

1項 適用範囲

2項 引用規格

3項 用語及び定義

4項 組織の状況

5項 リーダーシップ(方針の策定、組織体制の整備等)

6項 計画(リスク・機会、目的目標の管理)

7項 支援(設備資源、力量、コミュニケーション、文書・記録管理)

8項 運用(情報セキュリティアセスメントとリスク対応)

9項 パフォーマンス評価(内部監査、マネジメントレビュー等)

10項 改善(是正処置対応、継続的改善)

 

それぞれの要求事項の解説についてはこちらの記事をご覧ください。

ISMS(ISO27001)の要求事項とは?

 

②情報セキュリティマネジメントシステムの体制が整備され、運用をしていること

ISMS(ISO27001)を導入する際にまずは管理責任者など役割を任命しておく必要があります。

舵を切る人やそれをフォローする人など体制を整え、構築が完了したらようやく運用へと移ります。

運用については構築したルールに沿って実行していきますが、

運用に漏れはないか、ルールに問題はないかなどを内部監査で再度確認しましょう。

 

また、審査では運用の記録を確認されるため、実行した運用記録は適切に保管しましょう。

審査を受けるに当たっては2つ決めることがあります。

1つ目は審査機関です。

国内にも ISOの審査機関は50以上あります。最低でも2社以上から見積もりを取ること、窓口に連絡するなどして適切な審査機関を選定していきましょう。

2つ目は認証範囲です。

ISOの場合は1部署あるいは一部の拠点でも認証取得が可能です。

「総務部だけ」、「〇〇支店だけ」、「本社だけ」、など一社全体でなく一部だけで取得しているという企業も多くあります。どの範囲で認証するかを決め、登録する対象の業務内容を文言にして審査を依頼する必要があります。

 

ちなみに、ISMS(ISO27001)と同時に検討される方も多いプライバシーマーク(Pマーク)は、部署や拠点を絞った認証はできません。

プライバシーマーク(Pマーク)付与は法人単位となっており、全従業者を適用範囲としなければなりません。

詳しくはこちらの記事をご覧ください。

プライバシーマーク(Pマーク)とISO27001(ISMS)の違い  

 

③審査の費用を支払うこと

審査をした場合や無事にISOの認証が下りた場合は、審査機関に支払う費用が発生します。

費用を支払わないとISOには登録できないままです。

審査機関から請求がきたら対応するようにしましょう。

 

④審査時に不適合が出た場合は期間内で是正処置を完了させること

審査では不適合が出ますがこれを放置してしまうと審査完了とはならず、ISO認証は下りません。

また、審査で不適合が発生した際には審査機関の規定に基づいた是正期間や指定フォーマットがあります。

審査員の指示のもと是正処置を行い、期間内に完了させるようにしましょう。

 

5.ISMSにより期待される効果

ISMS(ISO27001)を取得することで5つの効果があります。

 

対外的な信頼・信用の向上、大手企業との取引条件、業種にもよりますが入札条件への対応も網羅できます。

また、PDCAを回すことで、組織内で曖昧だったルールや手順、管理方法が明確になります。

②各種コミュニュケーションにて、事故事例の共有や注意喚起を行うことでの情報セキュリティリスクの低減が期待できます。

③従業員への教育を定期的に実施することで意識の向上及びミスの発生率が低下、情報の活用が期待できます。

④規程類などの定期的な見直しを実施することで社内の管理体制を整理・改善できたり、業務効率の向上が期待できます。

⑤日々の運用で 外部媒体や情報資産などの取扱い・管理・リスク値などが明確になります。

 

6.ISMS(ISO27001)を取得・維持更新できない場合:「重大な不適合」

「審査で落とされることはあるの?」

という疑問を持つ方も少なくないと思いますが、

審査で「重大な不適合」だと判断された場合、実際に審査に“落ちる”ことはあります。

 

不適合には「重大な不適合」と「軽微な不適合」の2種類あります。

運用の1つが漏れていたりマネジメントシステム上大きな問題がないものは「軽微な不適合」として是正処置を完了させれば良いのですが、「重大な不適合」と言われれば審査が中断されたり継続できなくなります。

「重大な不適合」となるケースは、構築したルールがISMS(ISO27001)の要求事項に沿ってない場合や、構築をしたものの運用ができていない場合(特に内部監査やマネジメントレビュー)など、

改善の余地がないと審査員が判断したものです。

 

4.ISMS(ISO27001)取得・維持更新のためにするべきことに記載をした

要求事項に沿って情報セキュリティマネジメントシステム(ISMS)を構築していること

情報セキュリティマネジメントシステムの体制が整備され、運用をしていること

を確実に実施して審査に臨みましょう。

まとめ

ISMS(ISO27001)を取得するには情報セキュリティマネジメントシステムを構築し、運用すること、審査費用を支払うこと、審査で出た不適合は是正処置を行う、この4つの条件が必要です。

構築や運用など、審査を受ける前にやるべきことがたくさんありますので、一度コンサルティング会社に相談してみるのもいいでしょう。

プロのコンサルタントがお悩みをお伺いします。
お気軽にご相談ください。

ISO・Pマーク(プライバシーマーク)に関することなら
何でもお気軽にご相談ください

認証パートナーロゴ

0120-068-268
お電話受付:平日9:30〜18:30

5営業日以内にお届け!

新規取得・運用別に
役立つ資料をお届けします

新規認証や運用・更新にあたって当社が何を請け負うか、
わかりやすい資料でご検討の参考にしてください。

役立つ資料をお届け

ISMS(ISO27001)認証パートナー
サービスのご案内

認証パートナーロゴ

認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。