ISO27001(ISMS 認証)とは、情報管理システムのセキュリティ強化の基準を示す ISMS の国際規格です。セキュリティを強化するため、多くの組織が ISO27001(ISMS 認証)を取得しています。
この記事では、社内のセキュリティを強化したいと考えている情報システム部門の担当者に向けて、ISO27001(ISMS 認証)の概要を解説します。取得の流れも解説するため、ぜひ参考にしてください。
ISO27001(ISMS 認証)とは?
ISO27001(ISMS 認証)とはどのようなものなのでしょうか。ここでは概要や特徴を解説します。
ISO27001(ISMS 認証)の概要
ISO27001(ISMS 認証)とは、ISMS について定める国際規格です。ISMS は「Information Security Management System」の略であり、日本語では「情報セキュリティマネジメントシステム」と表現できます。つまり、ISMS とは情報を安全に管理する仕組みのことです。
ISO27001 は、国際標準化機構(International Organization for Standardization)が定める ISO認証のひとつです。
ISO27001(ISMS 認証)の特徴
ISMS は、情報管理システムのセキュリティ強化の基本を表しています。ISMS は、セキュリティにおいて必要な条件を定めています。それは、機密性、完全性、可用性の3つの性質です。この3つの条件の詳細については後述します。
ISO27001では、ISMS を構築するための具体的な方法や手順を定めています。
情報セキュリティの3条件とは?
情報セキュリティの3条件は、それぞれどのようなものなのでしょうか。具体的に解説します。
機密性
気密性とは、認可を受けている人だけが情報を確認できる状態です。認可されていない相手に情報を開示せず、勝手に使用されないようにします。そのための手法として、パスワードの設定やアクセス制限などがあります。
完全性
完全性とは、情報が正しいまま維持されることです。情報の改ざんや不正な削除が行われない状態を表しています。完全性を保つには、情報の更新や上書きができる人を制限する必要があります。また、情報を最新の状態に保つことも重要です。
可用性
可用性とは、認可されている人がいつでも情報を閲覧したり編集したりできる状態です。可用性を実現するにはシステム上で対象者のアクセス権限を認めるだけでなく、トラブルの発生に備えてバックアップもとっておく必要があります。
ISO27001(ISMS 認証)と P マークの違い
ISO27001(ISMS 認証)は、P マークと混同されがちです。ここでは、それぞれの違いについて解説します。
P マークとは?
P マークとはプライバシーマークのことであり、日本工業規格に準拠していることを表しています。事業者が個人情報を保護する体制を整備している場合、P マークが付与されます。ISO27001(ISMS 認証)と比較すると、P マークの対象は限定的です。また、適用範囲についても違いがあります。
ISO27001(ISMS 認証)と P マークの特徴の比較
対象
ISO27001(ISMS 認証)が対象としている情報は、ありとあらゆる情報資産です。組織が保有する個人情報だけでなく、技術情報や機密情報なども含まれています。それに対して P マークの対象は個人情報のみです。
適用範囲
ISO27001(ISMS 認証)は企業全体での取得はもちろん、事業や部門ごとの取得も可能です。適用範囲は自由に設定できるため、柔軟性があります。一方、P マークは、基本的に企業全体で取得する必要があります。
ISO27001(ISMS 認証)を取得している企業数
ISO27001(ISMS 認証)はすでにたくさんの企業が取得しています。大手企業や有名企業なども取得済みです。情報マネジメントシステム認定センターの Web サイトから検索すると、ISO27001(ISMS 認証)を取得している企業を確認できます。2021年10月21日現在の登録数は6,608、公表数は6,253です。
ISO27001(ISMS 認証)を取得すべき理由
ISO27001(ISMS 認証)を取得するには、基準を満たすために組織のセキュリティを強化する必要があります。改めて組織の体制を見直せば、実際のセキュリティ性を向上させることが可能です。また、認証を取得すると、外部に対しても自社のセキュリティ性の高さを示せます。客観的な証明になるため、自社に対する信頼の強化につながります。
ISO27001(ISMS 認証)のメリット・デメリット
ISO27001(ISMS 認証)の取得にはメリットとデメリットの両方があります。ここでは、それぞれについて解説します。
メリット
ISO27001(ISMS 認証)を取得すれば社内のセキュリティを高められ、情報を安全に管理するための仕組みを構築できます。人材が頻繁に入れ替わる部署においても、リスクマネジメントを強化できます。
デメリット
ISO27001(ISMS 認証)を取得するには、社内の体制を改めて整備する必要があります。さまざまな準備が必要であるため、大きな手間がかかるでしょう。また、認証を取得するためには費用もかかります。
ISO27001(ISMS 認証)を取得する流れ
ISO27001(ISMS 認証)を取得するには、さまざまな準備が必要です。取得の流れを具体的に解説します。
適用範囲を検討する
まずは、どの組織で認証を取得するか決定しましょう。ISO27001(ISMS 認証)は企業全体での取得も可能ですが、事業や部門ごとでも取得できます。それぞれの状況によっても、認証を取得すべきかどうかは異なります。扱っている情報資産の内容を確認したうえで、最適な適用範囲を決めることが大切です。
情報セキュリティの方針を決定する
ISO27001(ISMS 認証)を取得するためには、組織が保有する情報資産を保護する仕組みが必要です。実際の状況をチェックしたうえで、何が不足しているか確認しましょう。要求事項を満たすために必要なものを把握する必要があります。そのうえで、情報セキュリティの方針を決定し、実際に仕組みを構築していきましょう。
認証機関を選択する
ISO27001(ISMS 認証)の認証機関は、30箇所あります(2021年10月13日時点)。費用は、認証機関によってそれぞれ定められています。依頼先によって実際にかかる費用は異なるため、事前に見積もりをとって確認しましょう。
リスクアセスメントを進める
リスクアセスメントとは、どのようなセキュリティリスクがあるか確認することです。具体的なセキュリティリスクを洗い出して評価を行い、必要な対策をとる必要があります。具体的には、情報資産管理台帳を作成し、リスクについて分析します。そのうえで、リスクについてどのような対応をとるかについて計画を立てましょう。
内部監査を実施する
内部監査を実施し、情報セキュリティ強化のために準備した内容を改めて確認します。内部監査を担当するのは社内の担当者やコンサルタントなどです。問題点がないかチェックしたうえで、課題があれば改善を加える必要があります。細かい部分まで確認し、着実に認証を受けられるように体制を整えることが大切です。
マネジメントレビューを行う
運用状況や内部監査の結果をまとめ、経営者へ報告します。経営者の視点から現状をさらに見直し、改善できる部分がないか検討します。認定審査を受ける前の最後の確認になるため、入念なチェックが必要です。ここで改善点がみつかった場合も、認証前に必ず改善する必要があります。
認定審査を受ける
自社が選んだ認定機関に申請を行い、認定審査を受けましょう。審査は2段階です。第1段階は文書による審査が行われ、第2段階では情報セキュリティの現状についてチェックされます。問題ない場合は認証登録が行われます。問題がある場合も、改善計画書を提出したうえで改善すれば認証登録を目指すことが可能です。
審査結果を公開する
認証機関による認証が済むと、情報マネジメントシステム認定センター(ISMS-AC)へ報告が行われます。その後、自社がISO27001(ISMS 認証)を取得した旨が公開されます。
認証には有効期限があり、取得してから3年間まで有効です。ただし、改めて手続きを行えば認証を更新できます。
PDCA サイクルを回す
認証を取得した後も中間審査が実施されます。この中間審査はサーベイランス審査とよばれており、年に1回以上行われます。審査で問題点の指摘を受けないようにするには、認証の取得後もセキュリティの強化を意識すべきです。PDCA サイクルを回し、セキュリティについて適宜改善を加えるようにしましょう。
ISO27001(ISMS 認証)の取得にかかる費用の目安
認証の取得にはまとまった費用がかかります。費用の目安は数十万円から数百万円となっており、幅が広いです。申請、予備審査、初回認証審査、認証書の発行についてそれぞれ料金が設定されています。予備審査が行われるのは必要な場合だけです。初回認証審査の費用は、第1段階と第2段階のそれぞれで発生します。
ほかにも、維持審査や更新審査の費用がかかります。また、認証機関と自社が離れている場合は審査員の交通費や宿泊費も必要です。コンサルタントに依頼するなら依頼料もかかります。
まとめ
ISO27001(ISMS 認証)を取得するために準備を進めれば、自社のセキュリティを適切に強化できます。認証を取得すると、社外に対しても自社のセキュリティの高さをアピールしやすくなるでしょう。
SBテクノロジーのセキュリティソリューションなら、企業が IT を安全に活用するためのサポートが可能です。セキュリティ対策製品やサービスのご提案から導入、さらには当社のセキュリティ専門アナリストによるセキュリティ監視、ソリューションをまたいだ相関分析、調査・解決策のご提案まで一貫して提供しています。セキュリティ対策については、ぜひ当社にご相談ください。
