HOME > サービスメニュー > ISO/IEC27001(情報セキュリティマネジメントシステム:ISMS)

ISO/IEC27001
(情報セキュリティマネジメントシステム:ISMS)

JIS Q 27001(ISO/IEC 27001)は、組織が自社で保護すべき情報資産を洗い出し、各情報資産に対して機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)をバランスよく維持し、改善していくことを可能にする仕組みを構築することを目的とした規格です。

2002年にISMS認証制度が日本で本格的に始動し、その後の2005年にISO27001が発行されました。その後、個人情報保護法の完全施行され、情報セキュリティ対策が重要な経営課題として取り上げられるようになりました。これを契機にISMS認証制度の普及に拍車がかかっていきました。

ISO27001
を取得する効果ってなに?

  • 情報セキュリティリスクの低減
  • 対外的な信頼性の確保
  • 経営資源の適切な投下、業務効率の改善や組織体制の強化
  • 法令遵守(コンプライアンス)の推進
  • KPI(キーパフォーマンス指標)の管理
  • 継続的な改善による企業価値の向上
  • 入札や海外企業を含む取引要件の達成
  • 企業競争力の強化
事例_Icon
事例
JMAQAはお客様にとって利点がある審査を提供しています。

各種お問い合わせはこちらへ

情報セキュリティの3要素(機密性、完全性、可用性)

  • 機密性:許可されていない個人、エンティティ又はプロセスに対して、情報を使用させず、また、開示しない特性
  • 完全性:正確さ及び完全さの特性
  • 可用性:認可されたエンティティが要求したときに、アクセス及び使用が可能である特性

ISO/IEC27001の導入メリット

ISO27001の認証取得は、第三者による審査を経ていることから、客観的な信頼の証となります。透明性・信頼性の確保が求められる昨今、信頼性の確保は重要な経営課題といえます。また、ISMSでは、リスクアセスメントの結果に基づき必要な対策を講じます。貴社にとって、何がリスクであるか、リスクを受容するのか整理することで、適切な経営資源を投下することが可能となります。
一方で、マネジメントシステムの観点から、法令遵守や社員の教育、パフォーマンスの管理などを「見える化」し、内部監査やマネジメントレビューにより経営側も運用状況を監視することができます。このような情報セキュリティリスクの低減とマネジメントシステム運用に基づく継続的改善がISMSの導入のメリットといえます。

●情報資産の取り扱いに対する対外的な信頼感を確保することができる。
●リスクアセスメントの結果にもとづき、戦略的、重点的な情報セキュリティ対策を施すことで
 経営資源の適正配布、コスト削減につながる。
●情報システムの重大な故障や災害発生時の事業活動の中断に備え、自社の事業継続性を確保する体制を整備できる。
●自社に関連する情報セキュリティ関連法令を明確化し、教育を実施することで法令遵守の風土が根付く。
●目的の設定、セキュリティ対策への責任と権限を明確化し、社員一人ひとりの責任感が醸成される。

ISO/IEC27001の狙い

ISO/IEC27001の主な狙いとしては、情報セキュリティ事件・事故は時代とともに変化し、複雑化、巧妙化、 高度化、多様化、悪質化してきています。
また、対策にしても、技術的、人的、組織的、物理的と広範な対策が求められます。このような中で、 情報セキュリティマネジメントシステムの意図した狙いとは以下のようにあげられます。

●外部からの攻撃を防ぐ
●内部からの漏洩、紛失、停止、破壊など防ぐ
●社員の意識を高める(セキュリティ意識を高める)
●遵法性の維持を行う
●内・外の利害関係者の信頼を得る
●信頼を受注に繋げ、利益に繋げる

ISO27001本文では、土台となるマネジメントシステムの「体制、仕組み、改善の枠組み」を提供し、その土台の上に情報セキュリティ、つまり、管理策「付属書A」が積みあがる構造となっています。
管理策は技術的、人的、組織的、物理的な視点からその対策が要求されています。そしてこのマネジメントシステム+管理策という構造を時代の変化に合わせて継続的に改善していくことが求められています。

主な取得業種

情報を扱う企業を対象としているため、ほぼすべての業種が該当します。ただ、扱う情報の機密性や漏えいのリスクを考えた場合、情報技術系の業種が多く認証を取得しています。 また、会社規模も数名から数千人まで幅広く、扱う情報資産も多岐にわたっています(JMAQA登録者情報より)。

  • ●情報技術系
  • ●人材派遣業界
  • ●小売り、卸売り業界
  • ●医療業界
  • ●建設業界
  • ・・・など

「Pマーク(個人情報保護マネジメントシステム)」との違い

<対比表は下記参照>

項目 / 種類 ISMS
(情報セキュリティ-マネジメントシステム)
Pマーク
(個人情報保護マネジメントシステム)
規格 国際標準規格 ISO/IEC27001:2013
日本工業規格 JISQ27001:2014
日本工業規格 JISQ15001:2017
組織の対象範囲 事業所・部門・事業単位の取得も可 企業全体、部分除外出来ない
対象資産範囲 適用範囲内の全ての情報資産(個人情報等を含む) 企業内のすべての個人情報及び
特定個人情報(マイナンバー含む)に限定している
要求事項 情報の機密性・完全性・可用性の維持 適切な個人情報等の取り扱い
更新・維持 更新3年毎、及び毎年の継続審査 更新2年ごと
セキュリティ対策 114項目+組織が決めた追加の管理策 管理策:附属書A 及び 附属書B
安全管理処置:附属書C(114項目)

個人情報保護対策として多くの企業が取得に取り組んでいるPマーク(プライバシーマーク/個人情報保護マネジメントシステム)は、企業内全ての個人情報及び特定個人情報(マイナンバー)の取扱いを対象にした規格です。ISMSは、適用範囲内の全ての情報資産の取扱いを対象にした規格です。よってISMSの対象は個人情報を含んでおり、ISMSがPマークの対象を包含しているといえます。どちらが優れているかという問題ではなく、貴社の課題、顧客の要求、扱う情報資産の種類によって選択することが重要です。

ISMS/ISO27001認証取得までの流れ

1. 内外の課題、利害関係者そのニーズを明確に

貴社をとりまく状況を整理することから構築のステップは進みます。外部ステークホルダーを含めた外部環境や、組織体制、役割といった内部環境を勘案し、内部・外部の課題を決定します。そして、取引先や社会から貴社に求められるニーズを明確にし、具体的な施策に落とし込んでいきます。

<対比表は下記参照>

  組織の内部・外部の状況(4.1) 利害関係者(4.2) 利害関係者のニーズ(4.2) リスク及び機会(6.1.1) ISMS目標(6.2) 達成のための計画(6.2) 運用管理の計画(8.1) 監視・測定項目(9.1) 分析・評価(9.1)
1 顧客の機密情報の漏洩 顧客 情報の気密性、契約の履行 機密情報の漏洩による信用の低下 機密情報の取扱いに関する教育・運用管理の徹底 ・・・・ ・・・・ ・・・・ ・・・・
2                  
3                  



                 

2. 適用範囲の決定

貴社のとりまく状況を整理することにより、適用範囲を決定します。自社全体で認証を取得することも可能ですし、1部署、1支社など範囲を限定することも可能です。

3.リスクアセスメントの実施

リスクアセスメントの具体的な方法については、規格では明示していません。多くの場合、情報の移動によりリスクが変化するため、どのような状態になった時にリスクが高く、重点管理する必要があるかを把握することが重要です。これまでは資産の洗い出し、資産台帳からリスクアセスメントをするケースも多かったですが、情報漏えいは意図しない破棄、利用などにより起こり、情報の動きによってもたらされます。よって、プロセスと情報資産の両面でリスクアセスメントを行い、いかに管理していくかが、重要です。これらの管理策は付属書Aと比較し、見落としがないことを検討することも求められています。

リスクアセスメント
リスクアセスメント

4. 目的及び計画の策定

貴社を取り巻く環境の把握、リスクアセスメントにより管理点を抽出し、情報セキュリティ目的(目標)におとしこんでいきます。この情報セキュリティ目的は事業計画と連動した形で戦略方向性と一致させることが望ましく、 全社、もしくは各部門レベルに展開させていきます。

情報セキュリティ目的(目標)の確率の例

5.PDCAサイクルの実施

トップの役割、社員の教育、目的(目標)を明確にしたうえで、運用レベルに入ります。その際重要になるのが顧客からの情報の対応ではないでしょうか。顧客の声が埋もれていないか、どのように吸い上げるシステムになっているかを、内部監査などを通じてチェックします。その結果をマネジメントレビューのインプットとすることで、トップのアウトプットを仰ぎます。

組織の状況

6.審査

ISMS/ISO27001において現地審査は、2段階に分かれています。
第1段階では主に文書の構築状況を、第二段階では運用状況を確認します。

主な取得業種

情報を扱う企業を対象としているため、ほぼすべての業種が該当します。ただ、扱う情報の機密性や漏えいのリスクを考えた場合、情報技術系の業種が多く認証を取得しています。 また、会社規模も数名から数千人まで幅広く、扱う情報資産も多岐にわたっています(JMAQA登録者情報より)。

  • ●情報技術系
  • ●人材派遣業界
  • ●小売り、卸売り業界
  • ●医療業界
  • ●建設業界
  • ・・・など

各種お問い合わせはこちらへ

事例_Icon
事例
JMAQAはお客様にとって利点がある審査を提供しています。

Q&Aよくあるお客様のご質問

これまでさまざまな相談を受けてきた
JMAQAにお任せください。
認証取得の適用範囲を限定したいのですが、可能ですか

ISMS認証取得適用範囲は、あらゆる形態及び規模の組織(例えば,営利企業,政府機関,非営利団体)に適用できます。リスクアセスメントの結果、そのISMSに疑義が生じなければ、企業内の部分取得も可能です。

「適用宣言書」とは何ですか

ISO/IEC 27001では、リスクアセスメントの結果を考慮して,適切な情報セキュリティリスク対応のために、規格要求事項の他に附属書A管理目的及び管理策を準備しています。管理策は、リスクを修正(軽減)する対策で規格では114種類あります。項目に過不足があれば追加が可能です。作成は必須です。
現在、どの管理策を適用するかを表明するため「適用宣言書」を作成します。

IT関連の会社ではありませんが、認証取得の必要はありますか

重要な情報及び情報資産を持っていない事業者はほとんどありません。大切な情報・情報資産を適切に守るために認証取得をすると利害関係者(一般的には、顧客、周辺住民、協力会社、株主、従業員などが利害関係者となります)に対して、安心感・信頼感を与える証になります。

各種お問い合わせはこちらへ

ISO各種研修、社内教育はこちら

CONTACT

各種お問い合わせ

お電話でのお問い合わせ

03-3434-1446

メールでのお問い合わせ

JMAQAinfo@jma.or.jp

よくあるご質問

お問い合わせ

無料お見積もり