情報セキュリティにおいてISMSやISO27001という言葉を聞いたことがある方もいらっしゃるでしょう。この2つはどちらも情報セキュリティに関する認証ですが、役割が少し異なります。また国際的な規格としてIECというものも知られています。
この記事では、ISOやIECの概要と違い、ISMSやJIS規格の概要そしてIECの組織構成についてご紹介します。
また、ISMS認証ではあれこれ対応することが沢山ありますが、そうしたISMS認証取得までの対応をまとめたTodoリストを無料で配布しています。確実なISMS認証取得に、ご活用ください。
ISO/IEC27001とは
ISO/IEC 27001とは、ISMS(情報セキュリティマネジメントシステム)の国際規格のことです。企業や組織における情報セキュリティを、機密性・完全性・可用性のバランスをとりながらマネジメントして、情報の有効活用を促進するための仕組みを示しています。
2002年にISMS認証制度が開始し、2005年にISO27001が発行されました。その後の個人情報保護法の施行などに併せて、情報セキュリティの重要性は増してきており、企業における重要な経営課題の一つとなっています。
ところでISOとIECと並列されていますが、この2つはどのように異なるのでしょうか。詳しく見ていきましょう。
「IEC」と「ISO」の違い
ISOとIECは並列されることが多いのですが、この2つの違いから解説します。
IECは正式には「国際電気標準会議(International Electrotechnical Commission)」のことであり、電気・電子技術に関する国際規格の策定を行っている国際標準化機関のことです。「電気および電子の技術分野における標準化のすべての問題および規格適合性評価のような関連事項に関する国際協力を促進し、これによって国際理解を促進すること」を目的としている組織です。
一方、ISOは「国際標準化機構(International Organization for Standardization)」のことであり、電気以外の工業規格を策定している世界で最も大きな国際標準化組織のことです。「国家間の製品やサービスの交換を助けるために、標準化活動の発展を促進すること」や「知的、科学的、技術的、そして経済的活動における国家間協力を発展させること」を目的としています。
IECが電気・電子に特化していることに対し、ISOはそれ以外の分野における国際規格を作成していると言えます。なお一部のITに関する分野では、IECとISOが共同で作成した規格も存在しています。この記事で解説しているISO/IEC 27001はそのうちの一つです。
「ISMS」と「ISO/IEC 27001」の違い
ISMSとは、Information Security Management Systemの略で、日本語では情報セキュリティマネジメントシステムと呼びます。情報セキュリティの三大要素「機密性・完全性・可用性」という3つの性質が核となり、ISMS認証を取ることで、「企業全体として優れた情報セキュリティ対策ができますよ」ということをアピールできます。
一方、ISO/IEC 27001は、ISMSの構築方法や運用方法を定めた国際規格です。具体的には「機密性・完全性・可用性」を維持する手順や方法を定義しています。
日本では、1981年に「情報システム安全対策実施事業所認定制度」が、情報処理サービス業を対象に施行され、その後2002年にISMS認証制度が始動。その後は、個人情報保護法が完全施行されたことや、サイバー攻撃の高度化などへの対応に伴い、情報セキュリティ対策の重要性が増してきたこともあり、ISMS認証制度が普及していきました。
※2022年、ISMS規格の改訂が実施されました。認証取得予定/取得済み企業はすべて対応必須になりますので、ぜひ対応を確認しておいてください。
「ISMS」の概要
まずは「ISMS」についてご説明します。
ISMSとは、Information Security Management System の頭文字をとって並べたもので、日本語では「情報セキュリティマネジメントシステム」と呼ばれています。その名の通り「システム」であり言い換えると「仕組み」のことです。企業全体を対象とした「情報セキュリティを管理するための仕組み」がISMSです。
ISMSでは、企業の情報セキュリティレベルを高めるためには、企業の情報セキュリティのレベルを高めるためには、「機密性・完全性・可用性」という3つの性質の維持が重要であると考えます。結局ISMSは「この3つの性質を適切に維持することができれば、企業全体として優れた情報セキュリティ対策ができますよ」ということを述べています。
「ISO/IEC 27001」と「JIS Q 27001」の概要
しかし情報セキュリティ対策のためのISMSの構築を始めようと思っても、具体的に何から手をつけたらいいのか分からないこともあるでしょう。そもそも、機密性・完全性・可用性の性質を維持するとはどういうことでしょうか。
実は、これらの3つの性質を維持するための「手順や方法」が存在しています。それこそが「ISO/IEC 27001」であり「JIS Q 27001」なのです。
実際にはISMSの「手順や方法」とは呼ばず、ISMSの「規格」やISMSの「要求事項」と呼んだりします。
一見、基準が2つあるように見えますが、「ISO/IEC 27001」は、国際標準化機構(ISO)と国際電気標準会議(IEC)が共同で作成した「国際規格」のことです。そして、その規格を日本語に訳したものが「JIS Q 27001」なのです。つまり、「ISO/IEC 27001」と「JIS Q 27001」は、書かれている言語が違うだけで、中身はほとんど同じものです。
よって、ISMSを取得するには、ISMSの要求事項、つまりはISO/IEC 27001やJIS Q 27001に従って社内の制度を作っていく必要があります。
そして、その制度が規格にそって、適切に作られていると判断されれば、「ISMS認証機関」と呼ばれる機関から「ISMS認証取得」の称号をもらうことができるわけです。
このISMS認証取得の称号がISMS適合性評価制度です。これは構築されたISMSがISO/IEC 27001(JIS Q 27001)に適合していることを第三者が評価し、認証する制度です。この制度は以下の3つの機関によって運用されています。
- ISO/IEC 27001(JIS Q 27001)に適合するか審査・登録する「認証機関」
- 審査員に資格を与える「要員認証機関」
- 各機関がそれぞれの業務を行う能力があるかをチェックする「認定機関」
これら3つの機関が連携して運用することで、ISMS制度の正当性が成り立っているのです。
ISMS認証の取得や運用をお考えの方は、弊社まで!
IECの組織構成
IECは総会をトップとして、合計10の管理部門(上層委員会)と110の専門委員会、120の分化委員会、1,609の作業グループ等によって構成されています。1か国1機関のみが会員となることができ、2021年12月現在では、88か国の会員国があり、8,358規格が作成されています。日本では1953年に日本産業標準調査会(JISC)が加入しています。
13の管理部門(上層委員会)の内訳は以下の通りです。
- 総会
- 評議会
- 会長委員会
- ビジネス諮問委員会
- ガバナンスレビュー及び監査委員会
- 多様性諮問委員会
- IECフォーラム
- 標準管理評議会
- 適合性評価評議会
- 市場戦略評議会
まとめ
情報セキュリティが重要と知っていても、具体的に何をしたらいいのか分からない企業も多いでしょう。ISMSやISO27001は、自社における情報セキュリティ対策の指針となるものです。もし現在これといった情報セキュリティ対策を実施していないのであれば、まずはこの記事を参考に、ISMSやISO27001の認証取得に向けて活動を開始するのも一つの方法と言えるでしょう。
また、LRM株式会社では、ISMS/ISO27001認証取得コンサルティングを行っております。2,300社以上の実績に基づくノウハウで、専門コンサルタントチームが取得までしっかりサポートします。また、情報セキュリティ教育クラウド「セキュリオ」で、効率的にISMSを運用できます。ISMS認証取得をご検討されている方や社内の情報セキュリティ管理にお悩みの方は、お気軽にご相談ください。