ISO27001の取得の流れとは?メリットやデメリットもふまえて解説

この記事は約13分で読めます。

​ISO27001(ISMS認証)とは国際標準化機構(International organization for Standardization)による、情報セキュリティの国際規格です。
品質に関するISO9001や環境に関するISO14001と同様に、企業が取得することで、業務の管理・効率化や対外的な信頼を得ることができます。
本記事では、そんなISO27001を取得することについて、メリット・デメリット含めて詳しく解説します。

また、弊社LRMでは、ISMS/ISO27001認証取得コンサルティングを行っております。2,300社以上の支援実績を持つ専門チームが、自社開発ツール「セキュリオ」を使いながら、貴社でしっかり運用できるISMS認証取得をお手伝いします。まずはお気軽にご相談ください。

ISO27001についておさらい

まずは、ISO27001の基本的な部分をおさらいしましょう。

ISO27001とは

ISO27001とは、国際標準化機構(International Organization for Standardization)による、企業・組織向けの情報セキュリティの国際規格です。その企業・組織が情報資産を安全に管理・運用する枠組みを有していることを認証することができます。

関連する用語にISMS(Information Security Management System)がありますが、こちらは、情報セキュリティマネジメントシステムと読んで字のごとく、情報資産管理・運用の枠組みのことを指します。ISO27001規格の要求事項に則ってISMSを構築・運用する、といった具合です。

ちなみに、JIS Q 27001は、ISO27001を和訳し、日本産業規格(JIS)として定めたものです。

「機密性」「完全性」「可用性」

ISO27001では仔細な要求事項が含まれていますが、一貫して、情報の「機密性」「完全性」「可用性」を保持することが要求されています。したがって、抽象的に言うと、この3原則が守られる管理体制をもっていることの証明がISO27001、と言えます。それぞれ大まかに下記の意味があります。

機密性
情報が、漏えいする、暴露されることがないように管理すること。
完全性
情報が、正確かつ最新で、欠けていないこと。
可用性
情報が、利用したいときに利用できる状態であること。

詳しくは「情報管理には欠かせない!情報の「機密性」「完全性」「可用性」とは?」で解説していますので、あわせてお読みください。

プライバシーマークとの違い

プライバシーマーク(以下、Pマーク)は、個人情報保護法を順守するための仕組みを構築・運用していると評価された事業者が使用できるマークです。JIPDEC(一般財団法人日本情報経済社会推進協会)は、JIS Q 15001(個人情報マネジメントシステム – 要求事項)を審査基準として定めています。ISMSでは企業のあらゆる情報資産を対象としていますので、そこが大きく異なる点です。

また、Pマークは主に日本国内を対象としているため、海外へのアピール力はありません。

その他にも細かく異なる点があります。気になる方、どちらを取るか迷っている方は、こちらの資料で詳細に解説していますので、ご確認ください。

ISO27001取得のメリット・デメリット

メリット

認証取得により、公共案件の入札や取引先からのベンダー取引要件を満たすことができるので、商談機会を拡大することができます。認証により、情報管理体制の一定の水準以上を満たしていることを客観的に証明することが可能なのです。

また、情報管理に関するリスクマネジメント体制の確立により、事故の防止に役立ちます。ISMS認証では、ISO27001を満たすように社内のルールを守ること、リスクアセスメントを事業の変化に応じて行い、継続的な改善を行うことが求められます。これらの要件を満たすと事故の防止活動がすでにできている、ということなのです。

ISO27001は、法令ではなく規格ですが、個人情報保護法など適用される情報保護関係法令に関する遵守も要件に入ります。そこで、体制を確立することが法令の遵守を確実にすることにも役に立ちます。

デメリット

メリットだけでなく、ISO27001にはデメリットもあります。

費用面では、少なからずコンサル費用、申請費用、審査費用などを要することから、予算を取得し、活動することが求められます。状況によっては予算の確保が容易ではありません。

また、取得までの作業や取得後に定期的な運用の手間がかかります。

人手を内部で調達することには限界があるので、手間を上手に避ける工夫として専門業者によるアウトソーシングや、コンサルティングサービスの活用が行われています。

ただし、デメリットといっても、一度ISO準拠の情報セキュリティ体制を確立すると、法令への準拠や、安全管理策も仕組み化されます。その上、事故の予防による経済的損失の抑止効果があることを考えると、長期的に回収できる投資、と考えることができるものです。長期的にみるとデメリットはない、と考えることができるでしょう。​

取得にかかる費用

ISO27001取得にかかる費用は企業の規模や業態によって異なりますが、次のような費用を見込んでおく必要があります。

審査機関へ支払う申請審査費用
審査機関では企業規模に応じた費用を設定しています。しかし、機関によって差があるので、見積もりを取る必要があります。
設備投資費用
ISO27001認証の基準を満たすためにアクセスログソフトや無停電電源装置なども新規に購入することがあります。これらは企業規模にもよりますが、1台数千円から購入できます。
その他の設備・備品についてもすでに会社で持っている設備により対応できる場合は不要ですが、基準を満たすため、あるいは今後の運用のためあったほうがよい設備はISO27001の認証取得の際に購入する例も多く、場合によっては費用を多めに見込んでおく必要があります。
コンサルタント費用
コンサルティングサービスを利用するとISOの要求するマネジメントシステムに関する文書化を効率的に進めることができます。そこで、コンサルタント会社に支払う費用も見込んでおくことが一般的です。80〜100万くらいを相場と考えておくとよいでしょう。

取得の流れ

続いてISO27001取得までの作業・手順の流れをみていきましょう。

また、こちらの流れについてはリストの資料で無料配布していますので、DLしておくと便利です。

1.適用範囲の検討

どの範囲でISMS/ISO27001を取得するかをまず決定します。
ISMS/ISO27001は全社取得も可能ですが、1つの部署や1つの支店だけの取得も可能であるところがプライバシーマークの取得の場合とは異なっています。 

そこで、どの事業所・支店等を今回のISMS/ISO27001認証の対象とするかを決定します。
検討の初期に決定した対象範囲でのISMS/ISO27001取得までの大まかなスケジュールも決定していき、だいたいの「ターゲットデイト」つまり取得日を目標として設定しておきます。 

決定した適用範囲をベースに社内体制を確認し、取得範囲全体・あるいは部署や事業所ごと管理責任者や監査責任者を決定し、取得に至るまでの大まかな手順の洗い出しと、工程表・スケジュール表を作成します。 

2.方針の決定

​社内における情報セキュリティの取り組みに関する基本方針を決定していきます。 

方針の決定の選択肢としては、情報の保護に重点を置く方針か、効率性に重点を置くのか、基本的な方針を決めておき、方針の実施要綱や、さらにその方針を貫徹すると不都合が出る点のケアなど、様々な点を考慮する必要があります。 

次に取り決めた方針や会社の事業規模に適した審査機関を選定していきます。
方針にあった審査機関がどこであるかなどは、知見をもったコンサルタントの助言があると選びやすくなります。
LRMでは様々な審査機関での受審実績があり、審査機関の選定も一緒に行います

3.リスクアセスメント

次に行うのがリスクアセスメントです。
事業の具体的な態様からして情報管理のリスクがどこで生じやすいのか、損害が会社・顧客に出る可能性が高いのがどこか、また審査基準を勘案すると「弱み」があり、客観的には事故発生等の確率が高いとされるところはどこか、見定める作業です。ISO取得活動の中で、もっとも重要な作業の1つです。 

情報資産洗い出し

リスクアセスメントが妥当といえるための前提は、情報資産がどこにあるか、十分に把握をすることです。社内にどういった情報資産が存在しているかを洗い出し、台帳を作成します。
情報資産を洗い出し、台帳に取りまとめることで守るべき対象がどのような資産なのか、明確にします。 

ベースラインリスク分析

情報セキュリティ体制の骨格をまとめるために、ISMS/ISO27001の詳細管理策93個をすべて検討します。 

ところが、詳細管理案は、時に事業内容からすると、文面上不都合・不合理ということもあります。 

LRMのISMS/ISO27001コンサルティングの特徴は、このベースライン分析をお客様にあった形で1つずつ検討していくことです
実施には時間は多少かかってしまいますが、要求事項に会社が無理に合わせることなく、会社にあったISMS/ISO27001準拠の具体的管理策が確立でき、情報セキュリティの骨格が固まります。​ 

詳細リスク分析

ベースラインリスク分析は、最低限・あるいは最大公約数のリスク分析と位置づけられるものです。
そこで、ベースラインリスク分析を元に、業務毎に情報セキュリティで特にリスクを注意しなければならない点があるか、さらに具体的に検討していきます
危険がある場合、お客様にあった形での対応策を検討していきます。

リスク対応計画作成

​ベースラインリスク分析・詳細リスク分析を元に、組織として対策を「実施する」と決めた事項について誰がいつまでに何を実施すべきかを検討していきます。計画は文書化し、工程管理に使うようにします。 

残留リスク承認

​リスクを認識して対策をとってもつぶしきれないリスクや、認識はしているけれども優先順位や予算の割り当てなど、経営的な判断で対応を見送ることとなったリスクを残留リスクとして経営陣に承認を得ます。
経営陣がリスクを許容する判断するのに用いた根拠資料や議事録などは重要記録ですので、残しておきます。 

4.文書支援

ISMS/ISO27001の審査及び日々の運用で必要となってくる文書類(内部規程・様式等)を作成します。 

LRMにコンサルティングを依頼した場合は、審査で必要になってくる主要文書は、すべてLRMで用意します。 
また、単に審査に通るためだけの文書ではなく、業務レベルでの手順書の作成サポートも実施しております。規定・細則・手順書、どれに何を記載するか、といった判断に悩む時間も適切な助言で減らすことができます。​ 

5.従業員教育の実施

これまでの過程で実施してきたリスクアセスメントや規程の作成内容をベースに、適用範囲内の従業者に対して、情報セキュリティの概要や組織内で実施する管理策、あるいは作業手順などの教育を実施します。また、定着度・理解度を図る効果測定も行います。 

​LRMでは、教育に必要なテキストやテストも含めてこちらで用意し、従業者への教育実施までサポート致します。

6.内部監査

​運用がスタートした後、取得範囲の部署で運用がルール通りにできているかの確認を行います
内部監査はPDCAサイクルのCにあたる重要な項目であり、定期的な内部監査ができることはISO27001の要求事項です。 

LRMでは、単なる確認にとどまらず、継続的改善活動の目標となる具体的な業務改善が必要なポイントや、リスクの洗い出しを行うことを目的としてコンサルタントが自ら各拠点の内部監査を実施します。 

7.マネジメントレビュー

ISMS/ISO27001活動の集大成として経営陣に対して、ISMS/ISO27001活動の成果の報告を行います。
ISMS/ISO27001の改善の必要性やリスクアセスメント及びリスク対応計画の更新について検討し、更に会社に合った形でのISMS/ISO27001活動を実施していきます。 

8.審査

​ISMS/ISO27001において審査は、文書審査現地審査の2段階に分けて行われます。 

第1段階での文書審査では、作成した社内文書が要求事項(ISMS/ISO27001)に合っているかの審査を主に行います
第2段階での現地審査では、各部門が社内文書に定めたルール通りに運用をしているか、また、現状の運用で規格上許容されない情報セキュリティ上のリスクがないか、審査を行います。 

審査後に、不備があれば是正処置を社内にて実施し、審査機関に報告します。 

是正処置が完了すると晴れてISMS/ISO27001の認証取得になります。 

9.取得

​審査機関から、認証書が届くとISMS/ISO27001の認証取得です。おめでとうございます。 

なお、登録証や認証のマークがお手元に届くまで、合格の連絡が入ってから約1ヶ月ほどかかります。 

10.運用・保守

認証取得は、マネジメントシステムの運用をしていくためのスタートラインに立ったことを意味しています。
本格的な運用を適切に行うことがむしろ課題で、ISMS/ISO27001が形骸化されず、ルールの遵守と継続的な改善が組織内の仕組みとして実施されるようにしていく必要があります。 

LRMでは効果的に運用を行うことが可能になる様々な運用改善コースをご用意しております。​ 

ISO27001取得のスケジュール

ISO27001の取得は、準備・運用の開始・申請・審査の順に進みますが、準備から運用の開始までおおむね3~4か月かかるのが標準的なスケジュールです。 

また、ISO27001の規格に準拠しているというためには、実際に一度PDCAサイクルを回すことが求められるので、1サイクルをおおむね1事業年度で回すことを考え、申請までに1年かけることが一般的です。 

その後審査が行われますが、審査対象の組織の規模、申請件数や審査機関での混雑状況などにもよってスケジュールが前後することがあります。
前後する期間は読めませんので、準備年度の翌年に申請、と大まかに考えておくとよいでしょう。​ 

ISO27001の取得は難しい?

ISO27001の取得は、やはり大変です。具体的には、ISMO27001の企画内容を理解する、自組織に合った規定や手順書を作成、それに沿った運用をする、内部監査・マネジメントレビューを実施する、審査を受ける…といった多くの業務をこなす必要があり、その中で担当者自身も勉強をしなければならないのはもちろん、関係部署との連携、調整といった業務も発生します。

とは言え、情報の「機密性」「完全性」「可用性」を守る、というやるべきことをやるのが本質なので、理不尽な無理難題が待ち構えているということはありません。取るべきステップを正しく踏めば、取得することが可能です。

この辺りは、コンサルタントとクラウドサービスで効率的な認証取得を実現できるのがLRMの強みですので、ぜひまずはご相談ください。

まとめ

ISO27001の取得には、自社の情報セキュリティマネジメントシステムに対する社会的な信用を得て、取引機会を増やす大きなメリットがある一方、費用や手間がかかる点がデメリットです。
デメリットのうち、手間に関しては、コンサルタントの活用などでカバーが可能です。 

一方、企業の方針により早期に取得することを主眼とするか、安全管理策の向上を狙うか、また、企業の規模により認証取得期間の長短は変わります。自社に合ったスケジュールをコンサルタントの助言を得ながら立て、認証に臨むことをおすすめします。 

ISMS / ISO27001認証取得を目指すリスクマネジメント
タイトルとURLをコピーしました