ISMSの具体的な手順をISO27001で提示！ISMSとISO27001の違いについて

情報セキュリティにおいてISMSやISO27001という言葉を聞いたことがある方もいらっしゃるでしょう。この2つはどちらも情報セキュリティに関する認証ですが、役割が少し異なります。この記事ではISMSとISO27001の違いとその概要、そしてISO27001認証の具体的な取得の手続きを詳しくご紹介します。

「ISMS」と「ISO27001」の違い

ISMSとは、Information Security Management Systemの略で、日本語では情報セキュリティマネジメントシステムと呼びます。情報セキュリティの三大要素「機密性・完全性・可用性」という3つの性質が核となり、ISMS認証を取ることで、「企業全体として優れた情報セキュリティ対策ができますよ」ということをアピールできます。

一方、ISO27001は正確にはISO/IEC 27001と表記し、ISMSの構築方法や運用方法を定めて国際規格です。具体的には「機密性・完全性・可用性」を維持する手順や方法を定義しています。

「ISMS」の概要

まずは「ISMS」についてご説明します。

ISMSとは、Information Security Management System の頭文字をとって並べたもので、日本語では「情報セキュリティマネジメントシステム」と呼ばれています。その名の通り「システム」であり言い換えると「仕組み」のことです。企業全体を対象とした「情報セキュリティを管理するための仕組み」がISMSです。

もう少し具体的にISMSについて説明しましょう。

最近、情報漏えいや悪質なハッカーによる攻撃など、企業の情報セキュリティに関する被害が多く発生しています。これらの被害を抑えるには、つまりは、企業の情報セキュリティのレベルを高めるには、一体どうすればいいでしょうか？

様々な答えが考えられますが、ISMS的な考え方では、企業の情報セキュリティのレベルを高めるためには、「機密性・完全性・可用性」という3つの性質の維持が重要であると考えます。結局ISMSは「この3つの性質を適切に維持することができれば、企業全体として優れた情報セキュリティ対策ができますよ」ということを述べています。

「ISO/IEC 27001」と「JIS Q 27001」の概要

しかし情報セキュリティ対策のためのISMSの構築を始めようと思っても、具体的に何から手をつけたらいいのか分からないこともあるでしょう。そもそも、機密性・完全性・可用性の性質を維持するとはどういうことでしょうか。

実は、これらの3つの性質を維持するための「手順や方法」が存在しています。それこそが「ISO/IEC 27001」であり「JIS Q 27001」なのです。

実際にはISMSの「手順や方法」とは呼ばず、ISMSの「規格」やISMSの「要求事項」と呼んだりします。

一見、基準が２つあるように見えますが、「ISO/IEC 27001」は、国際標準化機構(ISO)と国際電気標準会議(IEC)が共同で作成した「国際規格」のことです。そして、その規格を日本語に訳したものが「JIS Q 27001」なのです。つまり、「ISO/IEC 27001」と「JIS Q 27001」は、書かれている言語が違うだけで、中身はほとんど同じものです。

よって、ISMSを取得するには、ISMSの要求事項、つまりはISO/IEC 27001やJIS Q 27001に従って社内の制度を作っていく必要があります。

そして、その制度が規格にそって、適切に作られていると判断されれば、「ISMS認証機関」と呼ばれる機関から「ISMS認証取得」の称号をもらうことができるわけです。

このISMS認証取得の称号がISMS適合性評価制度です。これは構築されたISMSがISO/IEC 27001（JIS Q 27001）に適合していることを第三者が評価し、認証する制度です。この制度は以下の3つの機関によって運用されています。

これら3つの機関が連携して運用することで、ISMS制度の正当性が成り立っているのです。

ISMS認証の取得や運用をお考えの方は、弊社まで！

ISO/IEC 27001認証を取得するメリット

ISO/IEC 27001を取得するメリットを3つご紹介します。

社内の情報セキュリティ強化

まずは社内の情報セキュリティを確保するルールや手順が明確になる点です。社内で情報セキュリティ研修などを実施する際にも、ISO/IEC 27001に準拠した手順やルールで伝えられるようになります。

社会的責任（CSR）への姿勢を提示

また企業の社会的責任（CSR）に取り組んでいる姿勢を取引先や消費者にアピールできます。CSRとは、Corporate Social Responsibilityの略で、企業が事業を継続する上で社会との関わりに責任をもつことを表した言葉です。日本語では社会的責任と訳されます。

欧米では企業が社会に果たす役割が事業であるとの考えから、CSRとは事業活動であると解釈されることが多いのです。

企業にとって、ITのセキュリティ対策はCSRの一つです。ISO/IEC 27001認証を取得することで、情報セキュリティをCSRとしてとらえ、ISMSを構築して適切に運用しているという姿勢を見せられる認識しているという姿勢を見せることができます。

その他、情報セキュリティに対する前向きな姿勢を示すことで、自社の信頼性をアップさせることもできるでしょう。

売上機会の拡大

さらに、企業の信頼性が向上することにより、取引先への良いイメージが広まる効果もあります。例えば、情報セキュリティに高いレベルを求める案件などに提案したときに、獲得できる確率も高くなります。また公共案件などでは、ISO/IEC 27001に適合していることが入札の条件となっていることもあり、そのような案件への入札も可能になります。

ISO/IEC 27001認証を取得するデメリット

ISO/IEC 27001認証の取得には、デメリットもあります。

例えば、一からISMSを構築することは非常に手間がかかる仕事です。具体的には、社内に新たなルールや手順を浸透させるのにも時間がかかりますし、情報セキュリティを強固にすると、利便性が損なわれることもあり、少なからず社内からの反発もあります。

例えば、営業部門などはISMSが構築されていない状態では、単価などの機密情報の資料の持ち出しは当たり前のように実施されている企業もあるでしょう。しかしISO/IEC 27001認証を取得するためには、事前に情報の持ち出しなどで上長の許可が必要になるため、営業担当者の仕事も増えてしまいます。

ISO/IEC 27001の取得には、メリットに加えてこのようなデメリットも踏まえつつ、社員の協力を得ながら進めることが大切です。

ISO/IEC 27001認証の取得と運用の流れ

ここでISO/IEC 27001認証の取得と運用の流れをご紹介します。

ISO/IEC 27001認証の適用範囲を決める

ISO/IEC 27001認証の適用範囲は、会社全体だけでなく、会社の部署単位でも問題ございません。適用の範囲を全体にするのか、保護すべき情報資産のある一部署にするのか、どのようにするのか決定します。

セキュリティ対策の方針を作成

ISO/IEC 27001認証を取得するためのセキュリティ対策の方針を作成します。この段階では情報セキュリティの三大要素である、機密性・完全性・可用性に基づいてセキュリティ対策をまとめた文書を作成します。

リスク評価とその実施手順を決める

自社の情報資産のリスク評価を行い、ISO/IEC 27001に準拠したセキュリティ制度の実施手順をまとめます。保護すべき情報資産をまとめて、どのような状況で漏洩したり窃取されたりするのかリスク分析を実施します。そのリスク分析の結果から、対策方法と手順をまとめて手順書として作成します。

セキュリティ対策の導入と社内教育

ISO/IEC 27001認証の取得に向けて活動します。最初に決めた適用範囲内において、セキュリティ対策の方針とセキュリティ対策の手順を元に、社員へ教育して、セキュリティ対策を導入します。

マネジメントレビュー

社内へのセキュリティ対策の導入と社員教育の開始後、内部監査担当者がISO/IEC 27001として効果的に実施されているかチェックします。必要なセキュリティ対策が施されているか、改善策はあるか、などをマネジメントレビューとして実施します。

審査

社内での内部監査とマネジメントレビューが終わったら、第三者機関に審査を依頼します。審査は文書によるものと、社内での実施状況を調べる現場審査があります。ISO/IEC 27001の条件が満たされていれば、認証が取得できます。

まとめ

情報セキュリティが重要と知っていても、具体的に何をしたらいいのか分からない企業も多いでしょう。ISMSやISO27001は、自社における情報セキュリティ対策の指針となるものです。もし現在これといった情報セキュリティ対策を実施していないのであれば、まずはこの記事を参考に、ISMSやISO27001の認証取得に向けて活動を開始するのも一つの方法と言えるでしょう。

弊社LRMではISMS認証取得/運用支援サービスを行っております。会社のスタイルに合わせ、自社で「運用できる」認証をこれまでに2,100社以上ご支援してまいりました。ISMS認証取得にご興味のある方、運用でお困りごとのある方は、まずはお気軽に無料でご相談ください。