HOME > ISO/IEC27001(情報セキュリティマネジメントシステム:ISMS) > よくあるご質問

ISO/IEC27001(情報セキュリティマネジメントシステム:ISMS)

JIS Q 27001(ISO/IEC 27001)は、組織が自社で保護すべき情報資産を洗い出し、
各情報資産に対して 機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)
をバランスよく維持し、 改善していくことを可能にする仕組みを構築することを目的とした規格です。

ISO/IEC27001についてのよくあるご質問

PマークとISMSはどのように違いますか

Pマークは、企業内全ての個人情報及び特定個人情報(マイナンバー)の取扱いを対象にした規格です。
ISMSは、適用範囲内の全ての情報資産の取扱いを対象にした規格です。

<対比表は下記参照>

項目 / 種類 ISMS
(情報セキュリティ-マネジメントシステム)
Pマーク
(個人情報保護マネジメントシステム)
規格 国際標準規格 ISO/IEC27001:2013
日本工業規格 JISQ27001:2014
日本工業規格 JISQ15001:2017
組織の対象範囲 事業所・部門・事業単位の取得も可 企業全体、部分除外出来ない
対象資産範囲 適用範囲内の全ての情報資産(個人情報等を含む) 企業内のすべての個人情報及び
特定個人情報(マイナンバー含む)に限定している
要求事項 情報の機密性・完全性・可用性の維持 適切な個人情報等の取り扱い
更新・維持 更新3年毎、及び毎年の継続審査 更新2年ごと
セキュリティ対策 114項目+組織が決めた追加の管理策 管理策:附属書A 及び 附属書B
安全管理処置:附属書C(114項目)
認証取得の適用範囲を限定したいのですが、可能ですか

ISMS認証取得適用範囲は、あらゆる形態及び規模の組織(例えば,営利企業,政府機関,非営利団体)に適用できます。リスクアセスメントの結果、そのISMSに疑義が生じなければ、企業内の部分取得も可能です。

「適用宣言書」とは何ですか

ISO/IEC 27001では、リスクアセスメントの結果を考慮して,適切な情報セキュリティリスク対応のために、規格要求事項の他に附属書A管理目的及び管理策を準備しています。
管理策は、リスクを修正(軽減)する対策で規格では114種類あります。項目に過不足があれば追加が可能です。作成は必須です。
現在、どの管理策を適用するかを表明するため「適用宣言書」を作成します。

IT関連の会社ではありませんが、認証取得の必要はありますか

重要な情報及び情報資産を持っていない事業者はほとんどありません。大切な情報・情報資産を適切に守るために認証取得をすると利害関係者(一般的には、顧客、周辺住民、協力会社、株主、従業員などが利害関係者となります)に対して、安心感・信頼感を与える証になります。

「いま必要とされる情報セキュリティ対策ISO/IEC27001導入編」 解説資料

「いま必要とされる情報セキュリティ対策ISO/IEC27001導入編」
解説資料

自社の情報セキュリティに関してリスクや危険性は理解できたけど、

  • 何から始めたらよいかわからない。
  • 自社で対策ができているか自信がない。
  • 同業がどうやって対策しているか知りたい。

そんな方にお勧めしたいのがISO27001の取得です。
こちらの詳しい資料をご覧ください。

「いま必要とされる情報セキュリティ対策ISO/IEC27001導入編」 解説資料

「違いはここにある! PマークとISMSの決定的な差」解説資料

ISMSとプライバシーマーク(Pマーク) ⇒ どちらもリスクマネジメントによる情報セキュリティ対策である

では、どちらを取得すべき?

 企業が守るべき情報資産は多い
 個人情報以外にも、
 取引先との打合せ議事録
 設計情報
 自社の財務情報……etc

⇒こういった「社外秘」まで守る必要があれば、ISMSに取り組むことがオススメ

こちらの詳しい資料をご覧ください。

ISO/IEC27001についての
お問い合わせはこちら

ISO/IEC27001についての無料お見積り

ISO/IEC27001についてのお問い合わせはこちら


関連する日本能率協会のソリューション

CONTACT

各種お問い合わせ

お電話でのお問い合わせ

03-3434-1446

メールでのお問い合わせ

JMAQAinfo@jma.or.jp

よくあるご質問

お問い合わせ

無料お見積もり