１．ISO27001とは？

ISO27001とは、情報セキュリティマネジメントシステム（ISMS）の国際標準規格です。

⑴ISO27001について

ISO27001は、情報資産の保護、情報セキュリティリスクの管理、情報セキュリティ管理の継続的改善を目的としています。

組織がこの規格に準拠することで、情報セキュリティの管理体制が適切に機能していることを証明できます。

簡単にいうと「安心・安全なビジネス環境を整えていこう」ということです。

ちなみに、ISO27001は、ISO/IEC27001と記載されていることがあります。

IECは、International Electrotechnical Commissionの略で、日本語では「国際電気標準会議」を意味します。

電気、電子、関連技術分野の国際標準を策定するための国際的な非営利組織です。

ISOとIECが共同で策定した情報セキュリティマネジメントシステムの国際標準がISO/IEC27001です。

⑵ISO27001とISMSの関係について

ISO27001と並んで、ISMSという呼称もよく耳にします。

ISO27001とは「規格要求」を指し、ISMSとは「マネジメントシステム」を指しています。

認証の名称としてはISO27001が正しいですが、ISMSと通称されるケースもありますので、ISMSを認証していると言っても問題はありません。

正しく理解するのであれば、規格要求を満たして認証されるため、「ISO27001を認証取得している」が正しい表現でしょう。

２．情報セキュリティアセスメントとは

ISO27001は、情報セキュリティの管理体制の構築・運用を求めています。

情報セキュリティアセスメントとは、組織の情報セキュリティの状況を評価・分析することを指し、ISO27001認証取得のためには必須です。

具体的には、情報セキュリティポリシーやガイドラインの遵守状況、セキュリティ対策の適切性、脆弱性の有無、リスクの評価などを行います。

これにより、組織の情報セキュリティの強化や改善策の策定、リスクの管理などに役立てることができます。

３．機密性・完全性・可用性について

機密性・完全性・可用性とは情報セキュリティの3つの基本的な要素で、以下のように定義されます。

①機密性（Confidentiality）
情報が許可された者だけがアクセスできる状態を指します。不正なアクセスや漏洩から情報を保護することが求められます。

②完全性（Integrity）
情報が正確であり、不正な改ざんや破壊から保護されている状態を指します。情報の信頼性を保つために重要な要素です。

③可用性（Availability）
情報が必要な時に、許可された者が適切にアクセスできる状態を指します。システムのダウンタイムやネットワークの遅延などから情報を保護することが求められます。

４．情報セキュリティ管理策と適用宣言書とはなにか

ISO27001において、付属書Aに記載された情報セキュリティ管理策のうち、どの管理策を適用するのかを定める適用宣言書は必須です。

⑴情報セキュリティ管理策について

ISO27001の管理策とは、情報セキュリティリスクを管理するための具体的な行動や手段のことを指します。

これらは、ISO27001の付属書Aに記載されており、全93項目存在します。

これらの管理策は、組織の情報セキュリティリスクを評価し、適切に管理するためのフレームワークを提供します。

各項目は特定のリスクに対応するためのもので、組織の具体的な状況やニーズに応じて選択・適用されます。

例えば、アクセス制御、情報セキュリティポリシー、組織のセキュリティ、人的リソースのセキュリティ、物理的・環境的セキュリティ、運用のセキュリティ、通信のセキュリティ、情報システムの取得、開発と保守、情報セキュリティ事故管理、情報セキュリティの継続的改善などが含まれます。

⑵適用宣言書について

適用宣言書は、ISO27001の付属書Aに記載された93項目の管理策を自社に当てはめるかどうか、その理由を文書化したものです。

これは、組織が情報セキュリティリスクを適切に管理していることを証明するための重要な文書です。

適用宣言書の版数は認証書に記載されるので、適用除外が適用になった場合等、登録情報に変更が必要です。

５．ISO27001とPマークの違い

ISO27001とPマークは、どちらもマネジメントシステムによるPDCAの仕組となり、第三者認証です。
しかし、以下のような違いがあります。

・対象範囲
ISO27001は組織が持つ情報資産全体を対象としています。一方、Pマークは「個人情報」の保護に特化しています。
つまり、ISO27001のほうが広い範囲を対象としているのです。

・発行元
ISO27001は国際標準化機構（ISO）が発行している国際規格です。グローバルに通用します。
Pマークは日本国内の認証制度です。

・有効期限
ISO27001は3年間の有効期限ですが、2回の維持審査と、1回の更新審査により毎年審査があります。
Pマークは2年間の有効期限のため、2年に1度の審査があります。

違いはありますが、どちらがよいというものではなく、あくまで第三者認証となるため、顧客要求や、取得する目的に合わせて、規格を決めるようにしましょう。

ISO27001とPマークの違いについて詳しく知りたい方はこちらの記事をご覧ください。
【結論】どっちを取得するのがいい！？PマークとISMSの違いを徹底比較！

６．ISO27001認証取得メリット・デメリット

ISO27001の認証取得には、メリットがたくさんある一方、デメリットも存在します。

⑴メリット

1. 情報セキュリティの国際的な基準に準拠していることを証明できる。
2. 企業の情報セキュリティ対策が適切であることを第三者が認証することで、顧客や取引先からの信頼を得られる。
3. 情報セキュリティリスクを管理し、事故やインシデントを未然に防ぐことができる。
4. 法令遵守や契約上の義務を果たすためのフレームワークを提供する。

⑵デメリット

1. 認証取得までに時間とコストがかかる。
2. 継続的な改善と監査が必要であり、そのためのリソースが必要。
3. 全社的な取り組みが必要であり、組織全体の理解と協力が必要。
4. 認証取得後も定期的な更新が必要であり、そのためのコストと時間が発生する。

７．ISO27001認証取得までの期間

ISO27001の認証取得までの期間は、企業の規模や既存の情報セキュリティ管理体制の状況によりますが、一般的には約6ヶ月から1年程度とされています。

ただし、これはあくまで目安であり、準備が整っていればより短期間で認証を取得することも可能です。

また、逆に準備が不十分な場合や改善点が多い場合は、より長い期間を要することもあります。

８．ISO27001の取得費用

ISO27001には大きく分けて2種類の費用が発生します。

①認証審査費用
審査機関に支払う金額です。審査費用や認証登録費用等、ISO27001を取得する上で必ずかかる費用です。

②コンサルティング費用
自社で構築、運用をする場合には時間はかかりますが、コンサルタントに支払う費用は0円で済みます。

自社と認証機関との間にはいりコンサルティングしてくれるコンサル会社の費用は、新規取得時も同様ですが、その後ずっと続く運用面のサポートにも目を向けたほうがよいでしょう。

９．認証取得のおおまかな流れ

ISO27001認証取得までのおおまかな流れと、審査について解説します。

⑴ISO27001の構築

①ISO27001の構築の流れ

1）情報セキュリティマネジメントシステム（ISMS）の導入と、適用する範囲の決定
2）管理責任者などの担当する業務と担当者を決める
3）自社の情報資産を洗い出す
4）ポリシーを策定し、リスクアセスメントを実施
5）リスクアセスメントの結果に基づき、リスク対策を計画・実施
6）ISMSの運用・維持・改善のための手順を策定
7）手順に従ってISMSを運用し、その効果を評価・改善
8）内部監査を実施し、トップマネジメントのレビューを行う
9）認証機関による審査（1回目：書類審査、2回目：現地審査）を受け、認証取得

②ISO27001の要求事項

「要求事項」とは、ISO27001の中で求められている「ISO27001を取得するために企業が実現するべき要件」のことを指します。

ISO27001の具体的な要求事項は、10項にまとめられています。

0項　 序文
1項　 適用範囲
2項　 引用規格
3項　 用語及び定義
4項　 組織の状況
5項　 リーダーシップ
6項　 計画
7項　 支援
8項　 運用
9項　 パフォーマンス評価
10項 　改善

0項～10項の項目は本文で求められているもので、どんな組織でも必ず適用させることがもとめられている内容です。

付属書Ａ(管理策)

管理策とは、特定のリスクを目的とした対策を示したガイドラインのようなものでリスク評価をし、どの管理策を当てはめて対応していくのかを決めます。

この付属書は現在114管理策から改訂が行われ93管理策となりました。つまり93個の項目のルールが必要です。

⑵ISO27001の審査

①審査の流れ
ISO27001を取得する企業が初めに受けるのは、一次審査です。

ISO27001を取得するための枠組みや基本情報などがそろっており、ISO27001を取得できそうなのかを文書面を中心に審査していきます。

一次審査完了の2～4週間後に二次審査が行われます。二次審査は現場のチェックです。

実際の業務内容や使用しているツール、帳票、データを確認し、一次審査で確認した内容と大きく違わないか確認していきます。

三次審査があるわけではなく、新規の時は一次と二次の2回で終わります。

一次審査は1日、二次審査は15名くらいであれば1.5日くらいです。

②審査で落ちることがあるのか
ISO27001は審査と呼ばれることも多いですが、合否判定があるわけではないので、落ちるという概念がありません。

正式には【外部監査】の第三者監査：適合を認証・登録する機関が行う監査という位置づけです。

そのため、審査後には不適合という修正点や改善点が出されます。

国際基準に達していないものは改善して、達するようにしようということです。

審査機関は基準を下回っているものや、今後下回る可能性があるものに対してチェックをしてくれているのです。

⑶ISO27001審査後の運用

審査後の運用は何をするのかよく質問がありますが、PDCAを回していきますので、ルールの見直しや記録の更新をしていきます。

企業の業務内容は常に変化があり、社内、社外の影響でルールの変更も多くあります。

さらに時代の状況によって脅威になることも変化したり、情報セキュリティに関する課題も企業によって全てが解決されているということはないでしょう。

管理策だけでも93項目のルールがあるため、その1つを見直してルールを作る、更新をするだけでも相当な労力が必要となってきます。

10．ISO27001取得にコンサルタントは必要なのか

ほとんどの企業ではISO27001の取得をまかされた担当者が通常業務と兼務でISO27001の担当となることが多いため、負担が大きいでしょう。

ゼロから規格の勉強をしたりセミナーに参加したり、書類の作成、審査の対応などにかかる時間・費用・工数を考えると、コンサル会社を使用するほうが効果的です。

なによりコンサルタントは他社事例や経験を多く持っているため、よりスムーズな取得へ導いてくれます。

まとめ

ISO27001の新規取得に関しても、何のために取得するのか、自社ではどの範囲で取るべきか、費用はどのくらいか、期間はどのくらいかなど、実績や経験、事例をもとにした情報が一番確実で早いことは確かです。

ご不明点やイメージ付け、情報収集だけでもお気軽にご連絡ください。

　

ISO・Pマークについてのお悩みはありませんか？

プロのコンサルタントにお気軽にご相談ください。

• 無料お問合せ

• ZOOM相談予約

　

ISO・Pマークについてのお悩みはありませんか?

プロのコンサルタントにお気軽にご相談ください。

• 無料お問合せ
• ZOOM相談予約