2024年2月16日
ISMS-ACとは?JIPDECとの違いも解説します
ISMS-ACはISMS(ISO27001)の認定機関です。ISMS(ISO27001)の審査を受けた組織を認定する役割があります。
一方、JIPDECはPマーク(プライバシーマーク)の認定機関であり、審査機関でもあります。Pマーク(プライバシーマーク)審査の実施、Pマーク審査を受けた組織を認定する役割があります。
2024年11月6日
ISMS(ISO27001)とは、組織の大切な情報等が流出しないよう、情報のセキュリティを管理する仕組みです。
ISMS(ISO27001)の仕組みを構築し、人材や技術に頼らず、①情報セキュリティ対策②情報セキュリティ教育③トップによるマネジメントシステムの推進管理が重要です。
目次
ISMSは「情報セキュリティマネジメントシステム(Information Security Management System)」の略称であり、情報セキュリティを管理するための仕組みです。
この規格は、特にシステム開発やIT関連の情報通信業界の組織で多く取得されており、情報の機密性、完全性、可用性を管理し、情報を効果的に活用するための枠組みを示しています。
尚、ISMS(ISO27001)を取得している組織は、規格要求事項(JIS Q 27001:2023)の各管理策に対して、技術対策を定め、リスクアセスメントを実施して必要なセキュリティレベルを決め、計画、運用、改善をすることでシステム運用を行っている組織となります。
ISMS(ISO27001)については、こちらの記事で詳しく説明しております。
ISMS(ISO27001)では、機密性、完全性、可用性という、情報セキュリティの3要素を維持するための体制を構築することが求められています。これらの要素は、重要な情報の改ざん、消失、破損を防ぎ、安全に情報を取り扱うために必要です。
機密性、完全性、可用性の3つの要素は、英語での頭文字を取って「CIA」と呼ばれることが一般的です。
機密性とは、情報が許可された人だけにアクセスされることを保証することです。
機密性を確保するためには、アクセス制御や暗号化などの技術を用いて、情報が不正にアクセスされないようにします。
完全性とは、情報が正確であり、改ざんされていないことを保証することです。
情報が不正に変更されたり、破損したりしないようにするための対策が必要です。
可用性とは、必要なときに情報にアクセスできることを保証することです。
システムのダウンタイムを最小限に抑え、情報が常に利用可能である状態を維持するための対策が求められます。
これらの3要素は、情報セキュリティの基本的な柱であり、ISMSの運用においてバランスよく管理されるべき重要な要素です。
情報セキュリティの3要素については、こちらの記事で詳しく説明しております。
情報セキュリティという言葉はよく使われますが、「セキュリティ」を日本語に訳すと「安全」という意味になります。つまり、情報セキュリティとは、情報を安全に保つことを意味します。
情報セキュリティが保たれている状態には、個人と企業の2つの観点があります。
【個人の場合】
【企業の場合】
情報セキュリティとは、クライアントや従業員が、いつでも安全に情報を使用できる状態のことを指します。
ISMSを構築し、審査機関の審査に合格すると「ISMS認証」を取得することができます。この認証は、ISMSが適切に構築され、問題なく運用されていることを証明するものであり、企業にとって多くのメリットがあります。
しかし、自社で定めたルールに基づいてISMSを作成するだけでは、ISMS認証を取得することはできません。国際規格に準拠したISMSを構築し、審査に合格する必要があります。
その国際規格が「ISO/IEC 27001」です。この規格では、情報セキュリティの3つの要素(機密性、完全性、可用性)が管理され、利害関係者に信頼を与えるための枠組みが示されています。
ISMSを取得することには、メリットとデメリットがそれぞれ存在します。
ISMSの取得準備を始める前に、これらの点を理解し、取り組むべきかどうかを慎重に判断することをお勧めします。
ISMSを構築し、審査を通過してISMS認証を取得することで、企業の情報セキュリティレベルを高めることができます。
これにより、情報漏洩などの事故の発生リスクを低減し、万が一事故が発生した場合でもその影響を最小限に抑えることが可能です。
情報セキュリティの事故が原因で業務が停止し、倒産に至った企業も少なくありません。情報セキュリティレベルを向上させることは、企業の存続を守ることにつながります。
国際規格である「ISO/IEC 27001」に基づくISMS認証を取得することで、自社のセキュリティ管理体制が国際基準に準拠していることを外部に示すことができます。
これにより、顧客や取引先に対して、セキュリティ強化に積極的に取り組んでいることをアピールできます。
さらに、国や自治体、大手企業などでは、取引先の選定基準としてISMS認証取得が条件となっている場合や、加点要素となる場合もあります。ISMS認証を取得することで、自治体や大手企業からの案件受注率を高めることが期待できます。
ISMS認証を取得するためには、さまざまな準備が必要です。
例えば、情報セキュリティの規程を策定したり、社内で実施した施策を文書化したりする作業が求められます。特に、作成するISMS文書の数は50〜60に及ぶことがあり、その管理には大きな労力が必要です。
また、情報セキュリティに関するルールが増えたり、セキュリティ教育を受講する必要があったりするため、社員に一定の負担がかかることもあります。
ISMS認証の取得および維持には審査が必要です。初回の認証取得審査や、1年ごとの継続審査、3年ごとの再認証審査などがあり、これらの審査を受けるためには審査費用が発生します。
この費用は、審査機関や会社の拠点数、従業員数などによって異なりますが、最低でも数十万から数百万円が相場とされています。継続的に発生する金銭的なコストを考慮し、ISMS認証を取得するかどうかを慎重に判断する必要があります。
ISMS取得のプロセスは、PDCAサイクル(Plan-Do-Check-Act)の考え方に基づいて進行します。
ISMS(ISO 27001)を取得するためには、大まかに以下の4つのステップを踏む必要があります。
キックオフから取得完了までの期間は、早くて6か月、長くて1年ほどかかります。
ISMSの取得作業を開始する際には、まず認証完了を目指す時期を設定し、その時期から逆算してスケジュールを立てましょう。
ISMS取得の流れについては、こちらの記事で詳しく説明しております。
ISMS認証を取得するための審査は、一次審査と二次審査に分かれており、それぞれ評価されるポイントが異なります。
一次審査では、二次審査に備えて、ISMSの関連文書(マニュアル等の規程類)が適切に整備されているかが確認されます。
具体的には以下の点が見られます。
など
二次審査では、ISMSが国際規格『ISO/IEC 27001』に適合しているか、また組織内で効果的に機能しているか(情報セキュリティレベルの向上に寄与しているか)が評価されます。
さらに、ISMS認証を取得するためには、以下の条件を満たす必要があります。
ISMS(ISO27001)の担当者が必ず行わなければならないことを3つにまとめました。
社内での情報資産(個人情報を含む)の取り扱いや、社外との情報共有時のセキュリティ対策を講じる必要があります。
各システムにおけるアクセス権の管理や監視などの対策を策定し、マニュアル(手順書)を作成して、従業員がいつでも閲覧できるようにしなければなりません。
従業員および派遣社員、アルバイト、パート、個人事業主に対して、自社の情報セキュリティ対策についての教育を年に1回以上実施しなければなりません。
また、情報セキュリティ事故に関する教育や注意喚起、周知も行う必要があります。
トップマネジメントは、情報セキュリティに関する方針や目標(目的)を策定し、従業員に周知しなければなりません。
※重要なポイントを絞って記載していますので、上記以外にも実施すべきことがあります。
ISMS(ISO27001)とは、企業の重要な情報が外部や内部に流出しないように管理するための仕組みです。
情報セキュリティの3要素である、機密性、完全性、可用性をバランスよく維持し、組織に対する攻撃から守るために、情報セキュリティマネジメントシステムを確立し、効率的に運用することが求められます。
ISMS(ISO27001)を運用する際には、高度なスキルを持つ人材やセキュリティ技術に依存せず、
「頭では理解できても、実際の業務に置き換えるとまだわからない…」というケースも多いかと思います。
お困りの際は、ぜひコンサルタントにご相談ください。
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!
お問合せは
こちらから
全国どこでもオンラインで対応!
気軽にご相談ください!
相談予約は
こちらから
8,000社以上の支援実績に裏付けされた、
弊社サービスの概要を紹介しております。
資料の内容
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。
ISO27017やISO22000など各種規格もお得に 新規取得や運用・更新ができます。ご気軽にお見積りください。
ISOやプライバシーマークを同時に認証取得すると費用や工数を抑えることができます。安心してご相談ください