2021年02月08日

「ISMS」とは認証のことではない

ishihama
石濱 雄基 記事一覧
Posted in ISMS/ISO27001, 審査, 規格解説,
このエントリーをはてなブックマークに追加 LINEで送る

最近は様々な場所で「弊社はISMS認証を取得しています」といった言葉を耳にするのではないでしょうか。また、地方自治体などの入札では、ISMS認証の取得が条件に組み込まれている場合もあるでしょう。
そのことから、この世界には「ISMS」という認証が存在していると思っている方もいるかもしれません。しかし実際は、「ISMS」そのものは認証を指す用語ではないのです。

そこで今回は、「ISMS」と「ISMS認証」という言葉についてご紹介します。

「ISMS」とは

言葉について

ISMSとはInformation Security Management Systemの略称であり、「情報セキュリティマネジメントシステム」を指す言葉です。つまり、ISMSという言葉そのものは、あくまでも情報のセキュリティを管理するための枠組み・仕組みのことなのです。情報セキュリティについて具体的に知りたい方は、お役立ちコンテンツ内の「情報セキュリティとは」を見ていただければと思います。

ISO/IEC27001について

前項でISMSという言葉について簡単に説明しましたが、実際、ISMSという枠組みを作りましょうと言われても、何をもってISMSという枠組みができているのか、何を基に構築・運用すればいいのかわかりません。
ISO/IEC27001という規格には、そのわからない部分が記載されているのです。つまり、ISO/IEC27001という規格に記載されていることをもとにISMSを構築していくことになります。
ちなみにISO/IEC27001は国際規格であり、日本のみでなく世界中で共通して参照されている規格です。

【補足】

ISMSを構築する際に「JIS Q 27001」という言葉も登場するのですが、これは、ISO/IEC27001を日本語訳したものです。そのため基本的に内容は同じであり、日本の組織は基本的にJIS Q 27001を基にISMSを構築することになるでしょう。

「ISMS認証」とは

前章を整理すると、認証の取得自体を行っていなくても「ISMSを構築している」という言葉の意味自体は通じることがわかります。では、なぜ認証が存在しているのでしょうか。

「ISMS認証」の存在意義

各組織ごとに、「規格に則ってISMSを構築しています」と宣言していても、実際に規格に則ったものが構築されているか確認するのは外部からすると大きな手間になります。

そこで、認定機関(日本であればISMS-AC)に認定された第三者(認証機関)の目からISMSの構築・運用について確認して適合性を評価し、認証という形で規格に適合したISMSであることを第三者に証明できるようにしています。

認証有無の整理

認証の有無について簡単に整理すると以下のようになります。

  • ISMSを構築している
    • 第三者からは規格に適合した仕組みが構築されているか判断できない
  • ISMS認証を取得している
    • 第三者による認証を得ていることから、一定レベルのISMSが構築されていることが判断できる

認証を取得すると、外部に対して、ある程度しっかりした仕組みを構築していると証明することができます。しかし、審査のための費用や工数などもかかるため、今すぐに審査を受審することは難しいといったケースもあるのではないでしょうか。
そのような場合には、情報セキュリティの体制づくりとして組織の「ISMS」の構築は行いつつ、第三者による「ISMS認証」の審査は可能なタイミングで行う、といった切り分け方を行うのも良いのではないでしょうか。

まとめ

今回の記事のまとめとしては、以下の通りです。

  • ISMS
    • 情報セキュリティを管理するための枠組み・仕組み
  • ISMS認証
    • 構築・運用されているISMSの規格との適合性を評価する第三者認証制度

「ISMS」と「ISMS認証」の違いを理解することで、自社のISMSに関する取り組みの検討に活かしていただければと思います。

弊社では、各組織に合わせたISMSの構築や運用・審査のサポートなど様々な面に対するサービスをご用意していますので、興味がございましたらお気軽にお問い合わせください。

このエントリーをはてなブックマークに追加 LINEで送る

2021年2月8日

「ISMS」とは認証のことではない

Posted in ISMS/ISO27001, 審査, 規格解説

最近は様々な場所で「弊社はISMS認証を取得しています」といった言葉を耳にするのではないでしょうか。また、地方自治体などの入札では、ISMS認証の取得が条件に組み込まれている場合もあるでしょう。
そのことから、この世界には「ISMS」という認証が存在していると思っている方もいるかもしれません。しかし実際は、「ISMS」そのものは認証を指す用語ではないのです。

そこで今回は、「ISMS」と「ISMS認証」という言葉についてご紹介します。

「ISMS」とは

言葉について

ISMSとはInformation Security Management Systemの略称であり、「情報セキュリティマネジメントシステム」を指す言葉です。つまり、ISMSという言葉そのものは、あくまでも情報のセキュリティを管理するための枠組み・仕組みのことなのです。情報セキュリティについて具体的に知りたい方は、お役立ちコンテンツ内の「情報セキュリティとは」を見ていただければと思います。

ISO/IEC27001について

前項でISMSという言葉について簡単に説明しましたが、実際、ISMSという枠組みを作りましょうと言われても、何をもってISMSという枠組みができているのか、何を基に構築・運用すればいいのかわかりません。
ISO/IEC27001という規格には、そのわからない部分が記載されているのです。つまり、ISO/IEC27001という規格に記載されていることをもとにISMSを構築していくことになります。
ちなみにISO/IEC27001は国際規格であり、日本のみでなく世界中で共通して参照されている規格です。

【補足】

ISMSを構築する際に「JIS Q 27001」という言葉も登場するのですが、これは、ISO/IEC27001を日本語訳したものです。そのため基本的に内容は同じであり、日本の組織は基本的にJIS Q 27001を基にISMSを構築することになるでしょう。

「ISMS認証」とは

前章を整理すると、認証の取得自体を行っていなくても「ISMSを構築している」という言葉の意味自体は通じることがわかります。では、なぜ認証が存在しているのでしょうか。

「ISMS認証」の存在意義

各組織ごとに、「規格に則ってISMSを構築しています」と宣言していても、実際に規格に則ったものが構築されているか確認するのは外部からすると大きな手間になります。

そこで、認定機関(日本であればISMS-AC)に認定された第三者(認証機関)の目からISMSの構築・運用について確認して適合性を評価し、認証という形で規格に適合したISMSであることを第三者に証明できるようにしています。

認証有無の整理

認証の有無について簡単に整理すると以下のようになります。

  • ISMSを構築している
    • 第三者からは規格に適合した仕組みが構築されているか判断できない
  • ISMS認証を取得している
    • 第三者による認証を得ていることから、一定レベルのISMSが構築されていることが判断できる

認証を取得すると、外部に対して、ある程度しっかりした仕組みを構築していると証明することができます。しかし、審査のための費用や工数などもかかるため、今すぐに審査を受審することは難しいといったケースもあるのではないでしょうか。
そのような場合には、情報セキュリティの体制づくりとして組織の「ISMS」の構築は行いつつ、第三者による「ISMS認証」の審査は可能なタイミングで行う、といった切り分け方を行うのも良いのではないでしょうか。

まとめ

今回の記事のまとめとしては、以下の通りです。

  • ISMS
    • 情報セキュリティを管理するための枠組み・仕組み
  • ISMS認証
    • 構築・運用されているISMSの規格との適合性を評価する第三者認証制度

「ISMS」と「ISMS認証」の違いを理解することで、自社のISMSに関する取り組みの検討に活かしていただければと思います。

弊社では、各組織に合わせたISMSの構築や運用・審査のサポートなど様々な面に対するサービスをご用意していますので、興味がございましたらお気軽にお問い合わせください。

Author: 石濱 雄基
  • はてなブックマークに追加
  • ツイートする
  • facebookでシェアする
  • LINEでシェアする