ISMS審査合格率100%

0120-068-268
お電話受付:平日9:30〜18:30

ISMS(ISO27001) 認証・更新

ISMS(ISO27001)認証お役立ちコラム

ISMS適合性評価制度と3つの必須事項を紹介

スタッフ写真
スタッフ写真

2022年12月16日

ISMS適合性評価制度と3つの必須事項を紹介

ISMS適合性評価制度とは組織の情報セキュリティマネジメントシステムがISO/IEC27001に沿っているか認定する制度のことです。ISMS適合性評価制度は、「認定機関」「認証機関」「要因認証機関」から構成されていて、ISMS(ISO27001)の公平さを維持しています。また、ISMS(ISO27001)を認証することをISMS適合性評価制度を認証すると言う場合もあります。

目次

1.ISMS適合性評価制度とは

⑴ISMS適合性評価制度の仕組み

ISMS適合性評価制度は、組織が構築したISMS(ISO27001)について、JISQ27001(ISO/IEC 27001)を審査する「認証機関」が問題なく審査を行っているかを「認定機関」が評価している仕組みです。

「認証機関」から派遣される審査員の研修を行う「審査員研修機関」は「要員認証機関」から一定の基準をクリアした審査員が派遣されます。

ISMS適合性評価制度で、安心してISMS(ISO27001)の認証を組織が受けられるようになります。

以下の図のように「認定機関」が「認証機関」「要員研修機関」を審査し一定の基準であることを承認しています。

 

⑵ISMSとISO/IEC27001の違い

■ISMSとは

ISMSとは、「Information Security Management System」の頭文字から取っており、情報セキュリティマネジメントの仕組みを意味します。

この仕組みの基準として用いるのが、 国際規格ISO/IEC 27001/日本工業規格 JIS Q 27001「情報セキュリティマネジメントシステム-要求事項」

■ISO/IEC27001

ISO/IEC 27001は、国際標準化機構(ISO)と国際電気標準会議(IEC)が作成した「国際規格」を指します。

さらにこの規格を日本語に翻訳したものが「JIS Q 27001」と言われます。
「ISO/IEC 27001」と「JIS Q 27001」は、書かれている言語は違いますが、同じ内容になります。

2. ISMS適合性評価制度認証のメリット(ISMS(ISO27001)認証のメリット)

一般的に以下のようなメリットがあると言われています。

⑴顧客やユーザーからの信頼の向上、入札への参加、顧客取引の条件緩和

ISMS(ISO27001)を取得すると、情報セキュリティに関する仕組みがある会社と対外的にアピールすることができ、名刺やホームページにロゴマークを掲載することもできます。

近年ではISMS(ISO27001)の認証数も大幅に増え、他社との差別化の要素でしたが、認証していて当たり前の時代に移り変わろうとしています。

また行政機関の入札条件や大手企業との取引条件としてISMS(ISO27001)取得が必須条件となっている場合も増えてきています。

⑵情報セキュリティリスクの低減

ISMS(ISO27001)では、組織内の業務や取り扱っている情報資産に対して定期的にリスクアセスメントを実施することを求めています。

リスクアセスメントを行うことで、社内の情報セキュリティリスクを把握することができリスクへの対策(リスク対応計画)を行いリスク低下、回避、移転等の対応ができます。

⑶従業員の意識向上

情報セキュリティのレベルを維持するためには、従業者の認識が必須になります。

ISMS(ISO27001)では定期的に従業者への認識(教育)が必要になってきますので、仕組みで従業員の教育を行うことができます。

また、従業者への教育を通して社内のセキュリティ体制や情報漏洩事故(インシデント)発生時の対応も従業者へ認識させることができます。

プロのコンサルタントがお悩みをお伺いします。
お気軽にご相談ください。

3.ISMS(ISO27001)を認証する為に

⑴認証までの流れ

ISMS(ISO27001)を認証するために、まずはJISQ27001(ISO/IEC 27001)にて文書化要求がある文書の構築することが求められます。

その次に記録化要求や実施要求がある内容を実施していき認証機関の審査を受けることが必要になります。

文書化、記録化要求のあるものは以下のようになります。記載した内容以外でも、組織によっては作成し文書化することでISMS(ISO27001)の運用を簡素化していくこともできます。

  • ISMS適用範囲
  • 情報セキュリティ方針
  • 情報セキュリティリスクアセスメント
  • 適用宣言書情報セキュリティリスク対応
  • 情報セキュリティ目的
  • 力量、認識
  • 情報セキュリティリスクアセスメントの結果
  • 情報セキュリティリスク対応の結果
  • 監視及び測定の結果の証拠
  • 内部監査のプログラム・結果の証拠
  • マネジメントレビューの結果の証拠
  • 不適合の性質及び取った処置、是正処置の結果
  • その他管理策(付属書A)

⑵認証までどれくらいかかる

自社でISMS(ISO27001)を構築、運用していくと認証まで約1年半かかると言われています。

ISMS(ISO27001)に精通していない人が構築、運用をしていくので仕方がありません。
膨大な書類の作成、運用の実施をしていくことになります。

⑶認証にかかる費用

日本には約50以上の認証機関があると言われています。

認証にかかる費用は審査機関により異なります。

また、営業部だけでISMS(ISO27001)を認証するという部分認証も可能です。

範囲、拠点、人数などで審査費用は大きく変わってきます。

ISMS取得の費用については、こちらのコラムで解説しております。
ISMSの新規取得費用いくら見ればいいの?

4.ISMS適合性評価制度認証(ISMS(ISO27001))と3つの必須事項

⑴審査費用は相見積もりするべき

前項でも少し記載しましたが日本には約50以上の認証機関があり、費用も一律ではありません。

また審査費用はISMS(ISO27001)を適用する範囲、拠点、人数で変わってきますので、自社の業務に特異な審査機関や費用が安い審査機関などを選び、自社に合う審査機関を選ぶためにも相見積もりすることが非常に重要になります。

⑵コンサルタントを使うべき

ここまで、作成しなければならない文書、記録や自社に合った審査機関選びについてお話ししましたが、コンサルタントに依頼することで作成する文書を最小限に抑えることができ、各組織に合った審査機関の相見積もりを取得します。

そのためコンサルタントに依頼することで非常にコストを抑えることができます。

⑶新しいルールは極力作らない

ISMS(ISO27001)の構築の際新しいルールを作っても組織に浸透しないまま審査を迎えてしまうケースもあります。

そのため既存のルールをうまく組み合わせることでISMS(ISO27001)構築を行いましょう。

ムリムダなルールを作る必要はありません。

まとめ

ISMS適合性評価制度は、国際的に整合性のとれた情報セキュリティマネジメントシステムに対する第三者適合性評価制度の仕組みのことを言い、またISMS(ISO27001)認証することを指す場合もあります。

ISMS(ISO27001)認証によって入札に参加できる場合も多く、社内の意識向上も見込めます。

ISMS(ISO27001)認証を自社で行う場合は1年半の期間がかかり膨大な文書作成が求められますが、コンサルタントに依頼することで審査機関選びから文書作成、運用のサポートもあり、認証までの期間を短縮することができます。

プロのコンサルタントがお悩みをお伺いします。
お気軽にご相談ください。

\あわせて読みたい記事/

  • 2023年6月6日

    【入門】機密性・完全性・可用性を徹底解説!情報セキュリティの3要素CIAとは

    情報セキュリティの3要素は、「機密性」「完全性」「可用性」です。「機密性」は情報にアクセスできる制限を行うこと。 「完全性」は情報の改ざん等を防止すること。 「可用性」は情報を使いたいときに使える状態にすることです。「機密性」「完全性」「可用性」を理解し、ISMS(ISO27001)運用に落とし込むことが非常に重要になります。

  • 2023年4月13日

    ISO27017:クラウドセキュリティ認証取得の手順やポイントを解説

    ISO27017とは、クラウドセキュリティの認証です。ISO27017を取得することでクラウドセキュリティのマネジメントシステムが構築できます。
    クラウドサービスを提供している企業は、ISO27017の認証を取得すると多くのメリットがあり、この記事では、ISMS(ISO27001)とISO27017の違いや、ISO27017を取得するための3つのポイントを記載します。

  • 2023年6月9日

    ISMS(ISO27001)とは?Pマークとの違いや規格の概要、立ち位置を解説

    ISMS(アイエスエムエス)とは、Information Security Management Systemの頭文字をとった略称で、情報セキュリティマネジメントシステムのことを指します。つまり、ISMSとは、情報セキュリティを管理する仕組みのことなのです。
    この記事ではISMS(ISO27001)とPマークの違い、実際に取得する流れなどを解説しています。

一覧へ戻る

ISO・Pマーク(プライバシーマーク)に関することなら
何でもお気軽にご相談ください

認証パートナーロゴ

0120-068-268
お電話受付:平日9:30〜18:30

5営業日以内にお届け!

新規取得・運用別に
役立つ資料をお届けします

新規認証や運用・更新にあたって当社が何を請け負うか、
わかりやすい資料でご検討の参考にしてください。

役立つ資料をお届け
資料請求する

ISMS(ISO27001)認証パートナー
サービスのご案内

認証パートナーロゴ

認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。