2024年9月2日
ISMAP-LIUにかかる費用と費用対効果を解説
ISMAP-LIUとは、政府機関等による調達リストに掲載されるために必要な認証です。対象をSaaS事業者に絞っているため、認証にかかる費用を抑えられます。
類似のISMAPの認証には3,000〜5,000万円ほど費用が発生するケースが多いですが、ISMAP-LIUだと費用が1,000〜3,000万円程度に抑えられると言われています。
2024年6月19日
ISO27002は、情報セキュリティ管理のベストプラクティスを提供する国際標準です。最新版は2022年版で、情報セキュリティのリスク管理を強化しています。
ISO 27001とISO 27002の違いは、ISO 27001は「何を」行うべきかを示し、ISO 27002は「どうやって」それを実行するかを説明しています。
ISO27002は、ISO27001の管理策を実践するための具体的な基準をまとめた規格です。
管理策とは、ISO27001の要求事項の附属書Aに記載された情報セキュリティリスク対策の基準を示したもので、組織は業務内容や認証範囲に応じて、自社に適用する管理策を決めることができます。
ISO27001とISO27002の関係性は次のように理解すると良いでしょう。
ISO27001の附属書Aは、管理策のカテゴリーや項目を列挙したもので、管理策を適用するかどうかのチェックリストとして確認用に適しています。
一方、ISO27002は、管理策一つひとつを実践するための手引きで、具体的な方法が記載されており、参考資料として利用できます。
ISO27001とISO27002との違いは下記のとおりです。
ISO27001:情報セキュリティマネジメントシステム(ISMS)の要件を定めており、「何を」行うべきかを示している
ISO27002:情報セキュリティ管理策の実施に関するガイドラインを提供しており、「どうやって」それを実行するかを説明している
ISO27001は、情報セキュリティマネジメントシステム(ISMS)の国際規格です。この規格は、組織が情報資産を適切に管理し、情報セキュリティを維持するための枠組みを提供します。
組織は、ISO27001に基づいて情報セキュリティポリシーを策定し、リスクアセスメントを実施し、適切な管理策を実施することで、情報セキュリティを確保することが求められます。
ISO27002は、情報セキュリティに関する実践的なガイダンスを提供する規格です。この規格では、情報セキュリティに関連する様々な管理策や実施手順が示されており、組織が情報セキュリティを向上させるための具体的な指針を提供しています。
ISO27001は情報セキュリティマネジメントシステムの構築と運用に焦点を当てているのに対し、ISO27002は具体的な情報セキュリティに関する管理策や手順に焦点を当てています。組織は、ISO27001に基づいてISMSを構築し、ISO27002を参考にして情報セキュリティに関する具体的な対策を実施することで、情報セキュリティを総合的に強化することができます。
ISO27002とJIS Q 27002は、基本的には同じ内容の情報セキュリティ管理のための国際規格です。
ISO27002(正式名称:ISO/IEC27002)は国際標準化機構(ISO)と国際電気標準会議(IEC)が共同で制定した国際規格で、世界中で広く認知されています。
一方、JIS Q 27002は、ISO/IEC 27002を日本の産業標準(JIS)として採用したものです。
内容はISO/IEC 27002と同じですが、日本国内での適用を前提としているため、日本語訳が提供されている点が特徴です。
一般財団法人日本情報経済社会推進協会の資料によると、下記のように記されています。
ISO/IEC 27001:組織の事業リスク全般を考慮して、文書化したISMSを確立、実施、維持及び継続的に改善するための要求事項を規定した規格。
ISO/IEC 27002: 組織の情報セキュリティリスクの環境を考慮に入れた管理策の選定、実施及び管理を含む、組織の情報セキュリティ標準及び情報セキュリティマネジメントを実施するためのベストプラクティスをまとめた規格。ISO/IEC 27001 の「附属書A 管理目的及び管理策」と整合がとられている。
引用:一般財団法人日本情報経済社会推進協会「ISO/IEC 27000 ファミリー規格について」
認証審査を受けるためには、ISO27001という情報セキュリティマネジメントシステム(ISMS)の標準を導入し、それに準拠したシステムを運用する必要があります。
ISO27001は、情報セキュリティリスクを管理するためのフレームワークを提供し、その運用により組織が情報セキュリティリスクを適切に管理していることを証明するための認証を取得することができます。
ISO27002は、ISO27001の要求事項を満たすための具体的なガイダンスやベストプラクティスを提供する補完的な役割を果たしています。
したがって、ISO27002を参考にしながらISO27001に準拠したISMSを構築・運用することで、情報セキュリティマネジメントシステムの認証審査を受けることが可能となります。
2022年2月、国際標準化機構からISO/IEC 27002:2022が発表されました。
このバージョンでは、情報セキュリティ管理のベストプラクティスが更新され、現代のビジネス環境に適応する内容になりました。
2022年2月のISO/IEC 27002の主な改定内容は以下のとおりです。
新しく追加された11の管理策
ISO/IEC 27002:2022の管理策4分類
情報セキュリティリスクに関する最新の動向を踏まえて再構成され、ISO/IEC 27002:2013で114項目だったところから、ISO/IEC 27002:2022では93項目になりました。
ISO/IEC 27002は、ISO/IEC 27001の管理策を具体的に実践するための規格で、企業規模や業種に応じた対策が示されています。管理策は、ISO/IEC 27001の附属書Aに記載された情報セキュリティリスク対策の基準で、組織はこれを自社に適用します。ISO/IEC 27001の附属書Aは管理策のチェックリスト、ISO/IEC 27002はその実践手引きとして利用できます。
ISO/IEC 27002は具体的な実施手引きを提供していますが、その表現は抽象的であり、解釈が難しい場合もあります。対応方法や適用可否について迷った場合は、専門家に相談することをお勧めします。
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!
お問合せは
こちらから
全国どこでもオンラインで対応!
気軽にご相談ください!
相談予約は
こちらから
8,000社以上の支援実績に裏付けされた、
弊社サービスの概要を紹介しております。
資料の内容
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。
ISO27017やISO22000など各種規格もお得に 新規取得や運用・更新ができます。ご気軽にお見積りください。
ISOやプライバシーマークを同時に認証取得すると費用や工数を抑えることができます。安心してご相談ください