ISMS審査合格率100%

0120-068-268
お電話受付:平日9:30〜18:30

ISMS(ISO27001)認証お役立ちコラム

ISO27001の要求事項とは?ISO27001の取得・維持更新のためにすべき4つのこと

スタッフ写真
スタッフ写真

2023年6月22日

ISO27001の要求事項とは?ISO27001の取得・維持更新のためにすべき4つのこと

ISO27001の要求事項には、「ISO27001を取得するために企業が実現するべき要件」が明記されています。社内で管理する情報、社外に持ち出す情報などさまざまな場面での情報セキュリティに関する方針を決定すること、また内部監査などのルールなどが挙げられます。

1.ISO27001(ISMS)とは?

ISO27001とは、「ISO27001を取得するために企業が実現するべき要件」を指します。
ISMSとは、情報セキュリティマネジメントシステムそのものを指します。

ISO27001には、構築のための方法や手順が「要求事項」という形で定められています。

企業はこれらに則って情報管理システムを社内に作り運用することで、構築できるようになります。

2.ISO27001とISMSの違い

ISO27001とは「規格要求」を指し、ISMSとは「マネジメントシステム」を指します。 認証の名称としてはISO27001が正しいですが、ISMSと通称されるケースもあります。

3.ずばりISO27001で要求されることとは?

ISO27001で要求されていることは、大きく分けて3点あります。
①「構築」→②「運用」→③「改善」

要求事項を満たすことが①〜③のサイクルを回すことに繋がります。

ISO27001を取得するには要求事項に沿った運用が求められ、例えば「方針の掲示」/「内部監査の実施」/「マネジメントレビューの実施」等が実施項目として挙げられます。

4.ISO27001の要求事項とは?


ISO27001

「要求事項」とは、ISMS(ISO27001)の中で求められている「ISMS(ISO27001)を取得するために企業が実現するべき要件」のことを指します。

ISMS(ISO27001)の具体的な要求事項は、10項にまとめられています。

  • 0項  序文
  • 1項  適用範囲
  • 2項  引用規格
  • 3項  用語及び定義
  • 4項  組織の状況
  • 5項  リーダーシップ
  • 6項  計画
  • 7項  支援
  • 8項  運用
  • 9項  パフォーマンス評価
  • 10項  改善

0項~10項の項目はISMS(ISO27001)本文で求められているもので、どんな組織でも必ず適用させることがもとめられている内容です。

付属書A(管理策)
管理策とは、特定のリスクを目的とした対策を示したガイドラインのようなものでリスク評価をし、どの管理策を当てはめて対応していくのかを決めます。

5.主要なISO27001の要求事項の解説

ISO27001の主要な要求事項では、どんなことが要求されているのか、順番にみていきましょう。

⑴【4項】組織の状況

組織内外の課題や利害関係者のニーズ把握を行った上で、適用範囲を決めることが要求されています。
組織内の場合、従業員の声やニーズ等を、組織外の場合は、取引先だけでなく外注先や購買先等を、広く定義しています。

⑵【5項】リーダーシップ

適用範囲の中で組織を指揮する最高責任者がコミットメントしないといけないということが要求されています。

コミットメントとは、「約束を必ず果たす」ということです。

担当者まかせではなく、最高責任者がリーダーシップを発揮しなければなりません。

⑶【6項】計画

PDCAサイクルの『P』の部分です。

リスクアセスメントを行い、情報セキュリティの目的とそれを達成するための計画を作るよう、求められています。

※PDCAサイクル=Plan(計画)、Do(実行)、Check(評価)、Action(改善)の頭文字を取ったものです。

⑷【7項】支援

どのような知識、経験等を持つ必要があるかを定め、担当者がその知識を有しているかを確認しなければなりません。

もし、力量が不足していると判断された場合は、教育など、何らかの処置を講じる必要があります。

⑸【8項】運用

PDCAサイクルの『D』の部分です。

6項で定めたリスクアセスメントやリスク対応を実施するため、計画、実施、管理が必要です。

また、実施するだけでなく、計画通り実行できているのか、確認が取れる状態にあるかを文書として作成する必要があります。

⑹【9項】パフォーマンス評価

PDCAサイクルの『C』の部分です。

パフォーマンス及び有効性評価を定めています。

評価を行うためプロセスと管理策、監視、測定、分析及び評価方法、実施時期、評価時期の決定が必要です。
また、「内部監査」と「マネジメントレビュー」も規定されています。

⑺【10項】改善

PDCAサイクルの『A』の部分です。

不適合が発生した場合の是正処置(再発防止への対応)の手順を明確にし、修正(適合の状態に戻す対応)と、その結果の影響を把握し、フォローし、記録しなければなりません。

6.ISO27001の付属書Aとは?

付属書Aとは、ISO27002の要点をまとめた内容であり、管理策実践の規範を指します。

管理策とは、リモートワークのルール規定等、情報漏洩を防ぐに当たっての情報資産の取り扱い方法を記したものです。

7.ISO27001の取得・維持更新のためにするべきこと4つ

ここでは各条件で具体的に何をすべきかについて解説します。

⑴ ISO27001の要求事項に沿ってISMSを構築すること

4.ISO27001の要求事項とは?でも説明した通り、ISMS(ISO27001)には次のように10項目の要求事項が定められており、自分たちで手順を定めてマネジメントシステムを構築することが求められています。

  • 1項 適用範囲
  • 2項 引用規格
  • 3項 用語及び定義
  • 4項 組織の状況
  • 5項 リーダーシップ(方針の策定、組織体制の整備等)
  • 6項 計画(リスク・機会、目的目標の管理)
  • 7項 支援(設備資源、力量、コミュニケーション、文書・記録管理)
  • 8項 運用(情報セキュリティアセスメントとリスク対応)
  • 9項 パフォーマンス評価(内部監査、マネジメントレビュー等)
  • 10項 改善(是正処置対応、継続的改善)

それぞれの要求事項の解説については5.主要なISO27001の要求事項の解説をご覧ください。

⑵ ISMSの体制を整備し、運用すること

ISMS(ISO27001)を導入する際にまずは管理責任者など役割を任命しておく必要があります。

舵を切る人やそれをフォローする人など体制を整え、構築が完了したらようやく運用へと移ります。

運用については構築したルールに沿って実行していきますが、運用に漏れはないか、ルールに問題はないかなどを内部監査で再度確認しましょう。

また、審査では運用の記録を確認されるため、実行した運用記録は適切に保管しましょう。

審査を受けるに当たっては2つ決めることがあります。

1つ目は審査機関です。

国内にも ISOの審査機関は50以上あります。最低でも2社以上から見積もりを取ること、窓口に連絡するなどして適切な審査機関を選定していきましょう。

2つ目は認証範囲です。

ISOの場合は1部署あるいは一部の拠点でも認証取得が可能です。

「総務部だけ」、「〇〇支店だけ」、「本社だけ」、など一社全体でなく一部だけで取得しているという企業も多くあります。どの範囲で認証するかを決め、登録する対象の業務内容を文言にして審査を依頼する必要があります。

ちなみに、ISMS(ISO27001)と同時に検討される方も多いプライバシーマーク(Pマーク)は、部署や拠点を絞った認証はできません。

プライバシーマーク(Pマーク)付与は法人単位となっており、全従業者を適用範囲としなければなりません。
詳しくはこちらの記事をご覧ください。

プライバシーマーク(Pマーク)とISO27001(ISMS)の違い

⑶ 審査の費用を支払うこと

審査をした場合や無事にISOの認証が下りた場合は、審査機関に支払う費用が発生します。

費用を支払わないとISOには登録できないままです。

審査機関から請求がきたら対応するようにしましょう。

⑷ 審査時に不適合が出た場合は、期間内で是正処置を完了すること

審査では不適合が出ますがこれを放置してしまうと審査完了とはならず、ISO認証は下りません。

また、審査で不適合が発生した際には審査機関の規定に基づいた是正期間や指定フォーマットがあります。

審査員の指示のもと是正処置を行い、期間内に完了させるようにしましょう。

8.審査で不適合になるケースと対処

「審査で落とされることはあるの?」という疑問を持つ方も少なくないと思いますが、
審査で「重大な不適合」だと判断された場合、実際に審査に“落ちる”ことはあります。

不適合には「重大な不適合」と「軽微な不適合」の2種類あります。

運用の1つが漏れていたりマネジメントシステム上大きな問題がないものは「軽微な不適合」として是正処置を完了させれば良いのですが、「重大な不適合」と言われれば審査が中断されたり継続できなくなります。

「重大な不適合」となるケースは、構築したルールがISMS(ISO27001)の要求事項に沿ってない場合や、構築をしたものの運用ができていない場合(特に内部監査やマネジメントレビュー)など、改善の余地がないと審査員が判断したものです。

7.ISO27001の取得・維持更新のためにするべきこと4つに記載をした

①要求事項に沿って情報セキュリティマネジメントシステム(ISMS)を構築していること
②情報セキュリティマネジメントシステムの体制が整備され、運用をしていること

を確実に実施して審査に臨みましょう。

まとめ

ISMS(ISO27001)を取得するには情報セキュリティマネジメントシステムを構築し、運用すること、審査費用を支払うこと、審査で出た不適合は是正処置を行う、この4つの条件が必要です。

構築や運用など、審査を受ける前にやるべきことがたくさんありますので、一度コンサルティング会社に相談してみるのもいいでしょう。

 
ISO・Pマークについてのお悩みはありませんか?
プロのコンサルタントにお気軽にご相談ください。
コンサルタント写真
 
ISO・Pマークについてのお悩みはありませんか?
プロのコンサルタントにお気軽にご相談ください。

  ← 記事の内容をまとめた動画はこちら!!

\ フォローしてね /

認証パートナーの
Youtubeチャンネル

ISO・Pマーク(プライバシーマーク)に関することなら
何でもお気軽にご相談ください

認証パートナーロゴ

0120-068-268
お電話受付:平日9:30〜18:30

新規取得・運用別に
役立つ資料をお届けします

新規認証や運用・更新にあたって当社が何を請け負うか、
わかりやすい資料でご検討の参考にしてください。

役立つ資料をお届け

ISMS(ISO27001)認証パートナー
サービスのご案内

認証パートナーロゴ

認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。