ISO/IEC27001(情報セキュリティマネジメントシステム:ISMS)
JIS Q 27001(ISO/IEC 27001)は、組織が自社で保護すべき情報資産を洗い出し、
各情報資産に対して 機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)
をバランスよく維持し、 改善していくことを可能にする仕組みを構築することを目的とした規格です。
ISO/IEC27001についてのよくあるご質問
Pマークは、企業内全ての個人情報及び特定個人情報(マイナンバー)の取扱いを対象にした規格です。
ISMSは、適用範囲内の全ての情報資産の取扱いを対象にした規格です。
<対比表は下記参照>
| 項目 / 種類 | ISMS (情報セキュリティ-マネジメントシステム) |
Pマーク (個人情報保護マネジメントシステム) |
|---|---|---|
| 規格 | 国際標準規格 ISO/IEC27001:2013 日本工業規格 JISQ27001:2014 |
日本工業規格 JISQ15001:2017 |
| 組織の対象範囲 | 事業所・部門・事業単位の取得も可 | 企業全体、部分除外出来ない |
| 対象資産範囲 | 適用範囲内の全ての情報資産(個人情報等を含む) | 企業内のすべての個人情報及び 特定個人情報(マイナンバー含む)に限定している |
| 要求事項 | 情報の機密性・完全性・可用性の維持 | 適切な個人情報等の取り扱い |
| 更新・維持 | 更新3年毎、及び毎年の継続審査 | 更新2年ごと |
| セキュリティ対策 | 114項目+組織が決めた追加の管理策 | 管理策:附属書A 及び 附属書B 安全管理処置:附属書C(114項目) |
ISMS認証取得適用範囲は、あらゆる形態及び規模の組織(例えば,営利企業,政府機関,非営利団体)に適用できます。リスクアセスメントの結果、そのISMSに疑義が生じなければ、企業内の部分取得も可能です。
ISO/IEC 27001では、リスクアセスメントの結果を考慮して,適切な情報セキュリティリスク対応のために、規格要求事項の他に附属書A管理目的及び管理策を準備しています。
管理策は、リスクを修正(軽減)する対策で規格では114種類あります。項目に過不足があれば追加が可能です。作成は必須です。
現在、どの管理策を適用するかを表明するため「適用宣言書」を作成します。
重要な情報及び情報資産を持っていない事業者はほとんどありません。大切な情報・情報資産を適切に守るために認証取得をすると利害関係者(一般的には、顧客、周辺住民、協力会社、株主、従業員などが利害関係者となります)に対して、安心感・信頼感を与える証になります。
ISO/IEC27001についての
お問い合わせはこちら
ISO/IEC27001についての無料お見積り
ISO/IEC27001についてのお問い合わせはこちら
ISO/IEC27001(情報セキュリティマネジメントシステム:ISMS)の認証取得事例について
日本能率協会では、インタビュー内にもあるように、様々なニーズやお悩みに対して幅広くご提案をすることが可能です。
ISO27001(情報セキュリティマネジメントシステム)の認証に関する取得事例インタビューを掲載しております。新規取得、切り替えをご検討中の企業担当様は是非ごらんください。
無料ウェビナー
資料
無料
メルマガ登録
お問い