ISMS審査合格率100%

0120-068-268
お電話受付:平日9:30〜18:30

ISMS(ISO27001)認証お役立ちコラム

3分で分かる!ISMS(ISO27001)の仕組みを解説!

2021年12月28日

3分で分かる!ISMS(ISO27001)の仕組みを解説!

ISMS(ISO27001)とは、組織の大切な情報等が流出しないように管理する仕組みのことです。
ISMS(ISO27001)を仕組み化し、人材や技術に頼らず、①情報セキュリティ対策の実施、②情報セキュリティ教育の実施、③トップによるマネジメントシステムの推進管理が重要です。

1.ISMS(ISO27001)とは

ISMS(ISO27001)とは、3つの要素である、①機密性、②完全性、③可用性(※1)をバランスよく維持し、組織に降りかかる攻撃から守るために、情報セキュリティマネジメントシステムを確立し、効率よく運用していくための規格です。

ISMS(ISO27001)を取得するには、大まかにまとめると以下4つのステップが必要になります。

  • (1)規格要求事項(JISQ27001:2014 ※2)を基に、組織のマネジメントシステムを確立する
  • (2)(1)を基に運用を行う
  • (3)審査機関による審査を受ける
  • (4)審査機関から認証を受ける

尚、ISMS(ISO27001)を取得している組織は、規格要求事項(JISQ27001:2014)の各管理策に対して、技術対策を定め、リスクアセスメントを実施して必要なセキュリティレベルを決め、計画、運用、改善をすることでシステム運用を行っている組織となります。

※1
ISMS(ISO27001)は、3つの要素について定義しています
情報の機密性、完全性及び可用性の維持
各要素を一言でいうと
①機密性・・・・漏れてはいけないもの
②完全性・・・・壊れてはいけないもの
③可用性・・・・すぐに利用できるもの   となります

※2
JISQ27001:2014(ISO/IEC27001)とは、
組織がISMS(ISO27001)を確立し、実施し、維持し、
継続的に改善するためにどうしたらいいかを提供することを目的としています

ISMS(ISO27001)の確立及び実施について、組織として何をどう行うべきかを記載しています

2.そもそも情報セキュリティって何?

情報セキュリティとよく言われますが、「セキュリティ」を英語訳してみると「安全」という意味と定義されています。
つまり直訳すると、情報セキュリティとは、情報を安全にする、という意味になります。

情報セキュリティが保たれている状態とは、考え方としては、個人と企業の2つの考え方があります。

個人

  • ①個人スマホが不正アクセスされないようにしている
  • ②個人アドレスに身に覚えのないメールがこないようにブロックしている
  • ③サイトなどのパスワード強度や更新を行っている

企業

  • ①クライアント情報を不正アクセスから守る
  • ②企業の機密情報を不正アクセスから守る
  • ③地震、雷、台風、火災などの自然災害への対策をする

情報セキュリティとは、クライアントや従業員が、いつでも安全に情報を使用できる状態のことをいいます。

プロのコンサルタントがお悩みをお伺いします。
お気軽にご相談ください。

3.ISMS(ISO27001)担当者は何をするの?

ISMS(ISO27001)の担当者が、絶対やらなければならないことを3つにまとめました。

(1)社内外における情報セキュリティ対策の実施 社内での情報資産(個人情報含む)の取り扱い、社外との情報共有時のセキュリティ対策をする。
各システムにおけるアクセス権の管理、監視などの対策を策定し、マニュアル(手順書)を作成し、従業員がいつでも閲覧できるようにしなければならない。

(2)従業員への情報セキュリティ教育の実施
従業員及び派遣、アルバイト、パート、個人事業主への自社情報セキュリティ対策についての教育を年に1回以上実施しなければならない。
また、情報セキュリティ事故への教育や注意喚起、周知も実施しないとならない。

(3)トップマネジメントによるマネジメントシステムの推進
トップマネジメントが情報セキュリティに関しての方針、目標(目的)を策定し、従業員へ周知しなければならない。

※重要なポイントを絞っていますので、上記以外にも実施すべきことはあります

まとめ

ISMS(ISO27001)とは、企業にとって大切な情報等が外部や内部に流出しないように管理する仕組みのことです。

3つの要素である①機密性、②完全性、③可用性をバランスよく維持し、組織に降りかかる攻撃から守るために、情報セキュリティマネジメントシステムを確立し、効率よく運用していく必要があります。

ISMS(ISO27001)を運用する上で、高いスキルを持った人材やセキュリティ技術に頼らず、①社内外における情報セキュリティ対策の実施、②従業員への情報セキュリティ教育の実施、③トップマネジメントによるマネジメントシステムの推進を仕組み化し、管理していくことが重要です。

「頭では理解できても、実際の業務に置き換えるとまだわからない…」というケースも多いと思います。
お困りの際は、是非コンサルタントにご相談ください。

プロのコンサルタントがお悩みをお伺いします。
お気軽にご相談ください。

ISO・Pマーク(プライバシーマーク)に関することなら
何でもお気軽にご相談ください

認証パートナーロゴ

0120-068-268
お電話受付:平日9:30〜18:30

5営業日以内にお届け!

新規取得・運用別に
役立つ資料をお届けします

新規認証や運用・更新にあたって当社が何を請け負うか、
わかりやすい資料でご検討の参考にしてください。

役立つ資料をお届け

ISMS(ISO27001)認証パートナー
サービスのご案内

認証パートナーロゴ

認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。