HOME > ISO/IEC27001(情報セキュリティマネジメントシステム:ISMS) > 情報セキュリティマネジメントシステムの構築方法・ポイント

ISO/IEC27001(情報セキュリティマネジメントシステム:ISMS)

JIS Q 27001(ISO/IEC 27001)は、組織が自社で保護すべき情報資産を洗い出し、
各情報資産に対して 機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)
をバランスよく維持し、 改善していくことを可能にする仕組みを構築することを目的とした規格です。

ISO/IEC27001(情報セキュリティマネジメントシステム:ISMS)とは

情報セキュリティの3要素(機密性、完全性、可用性)

    機密性:許可されていない個人、エンティティ又はプロセスに対して、情報を使用させず、また、開示しない特性
  • 完全性:正確さ及び完全さの特性
  • 可用性:認可されたエンティティが要求したときに、アクセス及び使用が可能である特性

JIS Q 27001(ISO/IEC 27001)は、組織が自社で保護すべき情報資産を洗い出し、各情報資産に対して機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)をバランスよく維持し、改善していくことを可能にする仕組みを構築することを目的とした規格です。
2002年にISMS認証制度が日本で本格的に始動し、その後の2005年にISO27001が発行されました。その後、個人情報保護法の完全施行され、情報セキュリティ対策が重要な経営課題として取り上げられるようになりました。これを契機にISMS認証制度の普及に拍車がかかっていきました。
ISO/IEC27001の主な狙いとしては、情報セキュリティ事件・事故は時代とともに変化し、複雑化、巧妙化、 高度化、多様化、悪質化してきています。 また、対策にしても、技術的、人的、組織的、物理的と広範な対策が求められます。
このような中で、 情報セキュリティマネジメントシステムの意図した狙いとは以下のようにあげられます。

  • 外部からの攻撃を防ぐ
  • 内部からの漏洩、紛失、停止、破壊など防ぐ
  • 社員の意識を高める(セキュリティ意識を高める)
  • 遵法性の維持を行う
  • 内・外の利害関係者の信頼を得る
  • 信頼を受注に繋げ、利益に繋げる

JISO27001本文では、土台となるマネジメントシステムの「体制、仕組み、改善の枠組み」を提供し、その土台の上に情報セキュリティ、つまり、管理策「付属書A」が積みあがる構造となっています。
管理策は技術的、人的、組織的、物理的な視点からその対策が要求されています。そしてこのマネジメントシステム+管理策という構造を時代の変化に合わせて継続的に改善していくことが求められています。

情報を扱う企業を対象としているため、ほぼすべての業種が該当します。ただ、扱う情報の機密性や漏えいのリスクを考えた場合、情報技術系の業種が多く認証を取得しています。 また、会社規模も数名から数千人まで幅広く、扱う情報資産も多岐にわたっています(JMAQA登録者情報より)。

  • 情報技術系
  • 人材派遣業界
  • 小売り、卸売り業界
  • 医療業界
  • 建設業界

 ・・・など

  • 情報セキュリティリスクの低減
  • 対外的な信頼性の確保
  • 経営資源の適切な投下、業務効率の改善や組織体制の強化
  • 法令遵守(コンプライアンス)の推進
  • KPI(キーパフォーマンス指標)の管理
  • 継続的な改善による企業価値の向上
  • 入札や海外企業を含む取引要件の達成
  • 企業競争力の強化

ISO27001の認証取得は、第三者による審査を経ていることから、客観的な信頼の証となります。透明性・信頼性の確保が求められる昨今、信頼性の確保は重要な経営課題といえます。また、ISMSでは、リスクアセスメントの結果に基づき必要な対策を講じます。貴社にとって、何がリスクであるか、リスクを受容するのか整理することで、適切な経営資源を投下することが可能となります。
一方で、マネジメントシステムの観点から、法令遵守や社員の教育、パフォーマンスの管理などを「見える化」し、内部監査やマネジメントレビューにより経営側も運用状況を監視することができます。このような情報セキュリティリスクの低減とマネジメントシステム運用に基づく継続的改善がISMSの導入のメリットといえます。

  • 情報資産の取り扱いに対する対外的な信頼感を確保することができる。
  • リスクアセスメントの結果にもとづき、戦略的、重点的な情報セキュリティ対策を施すことで  経営資源の適正配布、コスト削減につながる。
  • 情報システムの重大な故障や災害発生時の事業活動の中断に備え、自社の事業継続性を確保する体制を整備できる。
  • 自社に関連する情報セキュリティ関連法令を明確化し、教育を実施することで法令遵守の風土が根付く。
  • 目的の設定、セキュリティ対策への責任と権限を明確化し、社員一人ひとりの責任感が醸成される。

内部監査における視点・ポイント

ISMS(ISO27001)の内部監査では特に以下のポイントが重要になってきます。

  • 実務現場の弱点(セキュリティホール)を見つける事
  • ISMSでは、セキュリティ事件・事故の予防が重要
  • ¥セキュリティ事件・事故は、 「バケツの水漏れ」のように、備えの弱い部署や協力会社・従業者・プロセスなどから
  • 組織変更(人員配置・構成など)、協力会社の変更等、変更による影響確認が重要
  • 技術の進歩、環境の変化及び内外の事故事例等を注視し、現行ルールが尚適切かどうか

ISO/IEC27001の主な狙いとしては、情報セキュリティ事件・事故は時代とともに変化し、複雑化、巧妙化、 高度化、多様化、悪質化してきています。 また、対策にしても、技術的、人的、組織的、物理的と広範な対策が求められます。このような中で、 情報セキュリティマネジメントシステムの意図した狙いとは以下のようにあげられます。

  • 外部からの攻撃を防ぐ
  • 内部からの漏洩、紛失、停止、破壊など防ぐ
  • 社員の意識を高める(セキュリティ意識を高める)
  • 遵法性の維持を行う
  • 内・外の利害関係者の信頼を得る
  • 信頼を受注に繋げ、利益に繋げる

ISO27001本文では、土台となるマネジメントシステムの「体制、仕組み、改善の枠組み」を提供し、その土台の上に情報セキュリティ、つまり、管理策「付属書A」が積みあがる構造となっています。 管理策は技術的、人的、組織的、物理的な視点からその対策が要求されています。そしてこのマネジメントシステム+管理策という構造を時代の変化に合わせて継続的に改善していくことが求められています。

情報を扱う企業を対象としているため、ほぼすべての業種が該当します。ただ、扱う情報の機密性や漏えいのリスクを考えた場合、情報技術系の業種が多く認証を取得しています。 また、会社規模も数名から数千人まで幅広く、扱う情報資産も多岐にわたっています(JMAQA登録者情報より)。

  • 情報技術系
  • 人材派遣業界
  • 小売り、卸売り業界
  • 医療業界
  • 建設業界

 ・・・など

<対比表は下記参照>

項目 / 種類 ISMS
(情報セキュリティ-マネジメントシステム)
Pマーク
(個人情報保護マネジメントシステム)
規格 国際標準規格 ISO/IEC27001:2013
日本工業規格 JISQ27001:2014
日本工業規格 JISQ15001:2017
組織の対象範囲 事業所・部門・事業単位の取得も可 企業全体、部分除外出来ない
対象資産範囲 適用範囲内の全ての情報資産(個人情報等を含む) 企業内のすべての個人情報及び
特定個人情報(マイナンバー含む)に限定している
要求事項 情報の機密性・完全性・可用性の維持 適切な個人情報等の取り扱い
更新・維持 更新3年毎、及び毎年の継続審査 更新2年ごと
セキュリティ対策 114項目+組織が決めた追加の管理策 管理策:附属書A 及び 附属書B
安全管理処置:附属書C(114項目)

個人情報保護対策として多くの企業が取得に取り組んでいるPマーク(プライバシーマーク/個人情報保護マネジメントシステム)は、企業内全ての個人情報及び特定個人情報(マイナンバー)の取扱いを対象にした規格です。ISMSは、適用範囲内の全ての情報資産の取扱いを対象にした規格です。よってISMSの対象は個人情報を含んでおり、ISMSがPマークの対象を包含しているといえます。どちらが優れているかという問題ではなく、貴社の課題、顧客の要求、扱う情報資産の種類によって選択することが重要です。

1. 内外の課題、利害関係者そのニーズを明確に

貴社をとりまく状況を整理することから構築のステップは進みます。外部ステークホルダーを含めた外部環境や、組織体制、役割といった内部環境を勘案し、内部・外部の課題を決定します。そして、取引先や社会から貴社に求められるニーズを明確にし、具体的な施策に落とし込んでいきます。

組織の内部・外部の状況(4.1) 利害関係者(4.2) 利害関係者のニーズ(4.2) リスク及び機会(6.1.1) ISMS目標(6.2) 達成のための計画(6.2) 運用管理の計画(8.1) 監視・測定項目(9.1) 分析・評価(9.1)
1 顧客の機密情報の漏洩 顧客 情報の気密性、契約の履行 機密情報の漏洩による信用の低下 機密情報の取扱いに関する教育・運用管理の徹底 ・・・・ ・・・・ ・・・・ ・・・・
2
3



2. 適用範囲の決定

貴社のとりまく状況を整理することにより、適用範囲を決定します。自社全体で認証を取得することも可能ですし、1部署、1支社など範囲を限定することも可能です。

3. リスクアセスメントの実施

リスクアセスメントの具体的な方法については、規格では明示していません。多くの場合、情報の移動によりリスクが変化するため、どのような状態になった時にリスクが高く、重点管理する必要があるかを把握することが重要です。これまでは資産の洗い出し、資産台帳からリスクアセスメントをするケースも多かったですが、情報漏えいは意図しない破棄、利用などにより起こり、情報の動きによってもたらされます。よって、プロセスと情報資産の両面でリスクアセスメントを行い、いかに管理していくかが、重要です。これらの管理策は付属書Aと比較し、見落としがないことを検討することも求められています。

リスクアセスメント
リスクアセスメント

4. 目的及び計画の策定

貴社を取り巻く環境の把握、リスクアセスメントにより管理点を抽出し、情報セキュリティ目的(目標)におとしこんでいきます。この情報セキュリティ目的は事業計画と連動した形で戦略方向性と一致させることが望ましく、 全社、もしくは各部門レベルに展開させていきます。

リスクアセスメント

5. PDCAサイクルの実施

トップの役割、社員の教育、目的(目標)を明確にしたうえで、運用レベルに入ります。その際重要になるのが顧客からの情報の対応ではないでしょうか。顧客の声が埋もれていないか、どのように吸い上げるシステムになっているかを、内部監査などを通じてチェックします。その結果をマネジメントレビューのインプットとすることで、トップのアウトプットを仰ぎます。

リスクアセスメント

6. 審査

ISO/IEC27001において現地審査は、2段階に分かれています。 第1段階では主に文書の構築状況を、第2段階では運用状況を確認します。

「いま必要とされる情報セキュリティ対策ISO/IEC27001導入編」 解説資料

「いま必要とされる情報セキュリティ対策ISO/IEC27001導入編」
解説資料

自社の情報セキュリティに関してリスクや危険性は理解できたけど、

  • 何から始めたらよいかわからない。
  • 自社で対策ができているか自信がない。
  • 同業がどうやって対策しているか知りたい。

そんな方にお勧めしたいのがISO27001の取得です。
こちらの詳しい資料をご覧ください。

ISO/IEC27001についての
お問い合わせはこちら

ISO/IEC27001についての無料お見積り

ISO/IEC27001についてのお問い合わせはこちら


関連する日本能率協会のソリューション

CONTACT

各種お問い合わせ

お電話でのお問い合わせ

03-3434-1446

メールでのお問い合わせ

JMAQAinfo@jma.or.jp

よくあるご質問

お問い合わせ

無料お見積もり