ISO27001(ISMS認証)とは情報セキュリティマネジメントシステムに関する国際規格の1つで、認証基準に従い、企業組織が準拠していることに関して認証を受けることができます。
認証を受けることは、情報管理に関して一定のレベル以上であることのお墨付きがあることで社会的信用を得ることができること、情報安全管理策が十分にできるうえ、法令対応も十分行うことができるメリットがある一方で、費用や手間がかかることがデメリットとして挙げられます。
メリット・デメリットを踏まえたうえで、取得の流れの基礎知識と、効率的にISO27001を取得するために押さえておきたいポイントについて解説します。
また、LRM株式会社では、ISMS/ISO27001認証取得コンサルティングを行っております。2,300社以上の実績に基づくノウハウで、専門コンサルタントチームが取得までしっかりサポートします。また、情報セキュリティ教育クラウド「セキュリオ」で、効率的にISMSを運用できます。ISMS認証取得をご検討されている方や社内の情報セキュリティ管理にお悩みの方は、お気軽にご相談ください。
ISO27001取得のメリット
認証取得により、公共案件の入札や取引先からのベンダー取引要件を満たすことができるので、商談機会を拡大することができます。認証により、情報管理体制の一定の水準以上を満たしていることを客観的に証明することが可能なのです。
また、情報管理に関するリスクマネジメント体制の確立により、事故の防止に役立ちます。ISMS認証では、ISO27001を満たすように社内のルールを守ること、リスクアセスメントを事業の変化に応じて行い、継続的な改善を行うことが求められます。これらの要件を満たすと事故の防止活動がすでにできている、ということなのです。
ISO27001は、法令ではなく規格ですが、個人情報保護法など適用される情報保護関係法令に関する遵守も要件に入ります。そこで、体制を確立することが法令の遵守を確実にすることにも役に立ちます。
ISO27001取得のデメリット
メリットだけでなく、ISO27001にはデメリットもあります。
費用面では、少なからずコンサル費用、申請費用、審査費用などを要することから、予算を取得し、活動することが求められます。状況によっては予算の確保が容易ではありません。
また、取得までの作業や取得後に定期的な運用の手間がかかります。
人手を内部で調達することには限界があるので、手間を上手に避ける工夫として専門業者によるアウトソーシングや、コンサルティングサービスの活用が行われています。
ただし、デメリットといっても、一度ISO準拠の情報セキュリティ体制を確立すると、法令への準拠や、安全管理策も仕組み化されます。その上、事故の予防による経済的損失の抑止効果があることを考えると、長期的に回収できる投資、と考えることができるものです。長期的にみるとデメリットはない、と考えることができるでしょう。
ISO27001取得にかかる費用
ISO27001取得にかかる費用は企業の規模や業態によって異なりますが、次のような費用を見込んでおく必要があります。
- 審査機関へ支払う申請審査費用
- 審査機関では企業規模に応じた費用を設定しています。しかし、機関によって差があるので、見積もりを取る必要があります。
- 設備投資費用
- ISO27001認証の基準を満たすためにアクセスログソフトや無停電電源装置なども新規に購入することがあります。これらは企業規模にもよりますが、1台数千円から購入できます。
その他の設備・備品についてもすでに会社で持っている設備により対応できる場合は不要ですが、基準を満たすため、あるいは今後の運用のためあったほうがよい設備はISO27001の認証取得の際に購入する例も多く、場合によっては費用を多めに見込んでおく必要があります。 - コンサルタント費用
- コンサルティングサービスを利用するとISOの要求するマネジメントシステムに関する文書化を効率的に進めることができます。そこで、コンサルタント会社に支払う費用も見込んでおくことが一般的です。80〜100万くらいを相場と考えておくとよいでしょう。
ISO27001取得の流れ
続いてISO27001取得までの作業・手順の流れをみていきましょう。
1.適用範囲の検討
どの範囲でISMS/ISO27001を取得するかをまず決定します。
ISMS/ISO27001は全社取得も可能ですが、1つの部署や1つの支店だけの取得も可能であるところがプライバシーマークの取得の場合とは異なっています。
そこで、どの事業所・支店等を今回のISMS/ISO27001認証の対象とするかを決定します。
検討の初期に決定した対象範囲でのISMS/ISO27001取得までの大まかなスケジュールも決定していき、だいたいの「ターゲットデイト」つまり取得日を目標として設定しておきます。
決定した適用範囲をベースに社内体制を確認し、取得範囲全体・あるいは部署や事業所ごと管理責任者や監査責任者を決定し、取得に至るまでの大まかな手順の洗い出しと、工程表・スケジュール表を作成します。
2.方針の決定
社内における情報セキュリティの取り組みに関する基本方針を決定していきます。
方針の決定の選択肢としては、情報の保護に重点を置く方針か、効率性に重点を置くのか、基本的な方針を決めておき、方針の実施要綱や、さらにその方針を貫徹すると不都合が出る点のケアなど、様々な点を考慮する必要があります。
次に取り決めた方針や会社の事業規模に適した審査機関を選定していきます。
方針にあった審査機関がどこであるかなどは、知見をもったコンサルタントの助言があると選びやすくなります。
LRMでは様々な審査機関での受審実績があり、審査機関の選定も一緒に行います。
3.リスクアセスメント
次に行うのがリスクアセスメントです。
事業の具体的な態様からして情報管理のリスクがどこで生じやすいのか、損害が会社・顧客に出る可能性が高いのがどこか、また審査基準を勘案すると「弱み」があり、客観的には事故発生等の確率が高いとされるところはどこか、見定める作業です。ISO取得活動の中で、もっとも重要な作業の1つです。
情報資産洗い出し
リスクアセスメントが妥当といえるための前提は、情報資産がどこにあるか、十分に把握をすることです。社内にどういった情報資産が存在しているかを洗い出し、台帳を作成します。
情報資産を洗い出し、台帳に取りまとめることで守るべき対象がどのような資産なのか、明確にします。
ベースラインリスク分析
情報セキュリティ体制の骨格をまとめるために、ISMS/ISO27001の詳細管理策114個を全て検討します。
ところが、詳細管理案は、時に事業内容からすると、文面上不都合・不合理ということもあります。
LRMのISMS/ISO27001コンサルティングの特徴は、このベースライン分析をお客様にあった形で1つずつ検討していくことです。
実施には時間は多少かかってしまいますが、要求事項に会社が無理に合わせることなく、会社にあったISMS/ISO27001準拠の具体的管理策が確立でき、情報セキュリティの骨格が固まります。
詳細リスク分析
ベースラインリスク分析は、最低限・あるいは最大公約数のリスク分析と位置づけられるものです。
そこで、ベースラインリスク分析を元に、業務毎に情報セキュリティで特にリスクを注意しなければならない点があるか、さらに具体的に検討していきます。
危険がある場合、お客様にあった形での対応策を検討していきます。
リスク対応計画作成
ベースラインリスク分析・詳細リスク分析を元に、組織として対策を「実施する」と決めた事項について誰がいつまでに何を実施すべきかを検討していきます。計画は文書化し、工程管理に使うようにします。
残留リスク承認
リスクを認識して対策をとってもつぶしきれないリスクや、認識はしているけれども優先順位や予算の割り当てなど、経営的な判断で対応を見送ることとなったリスクを残留リスクとして経営陣に承認を得ます。
経営陣がリスクを許容する判断するのに用いた根拠資料や議事録などは重要記録ですので、残しておきます。
4.文書支援
ISMS/ISO27001の審査及び日々の運用で必要となってくる文書類(内部規程・様式等)を作成します。
LRMにコンサルティングを依頼した場合は、審査で必要になってくる主要文書は、全てLRMで用意します。
また、単に審査に通るためだけの文書ではなく、業務レベルでの手順書の作成サポートも実施しております。規定・細則・手順書、どれに何を記載するか、といった判断に悩む時間も適切な助言で減らすことができます。
5.従業員教育の実施
これまでの過程で実施してきたリスクアセスメントや規程の作成内容をベースに、適用範囲内の従業者に対して、情報セキュリティの概要や組織内で実施する管理策、あるいは作業手順などの教育を実施します。また、定着度・理解度を図る効果測定も行います。
LRMでは、教育に必要なテキストやテストも含めてこちらで用意し、従業者への教育実施までサポート致します。
6.内部監査
運用がスタートした後、取得範囲の部署で運用がルール通りにできているかの確認を行います。
内部監査はPDCAサイクルのCにあたる重要な項目であり、定期的な内部監査ができることはISO27001の要求事項です。
LRMでは、単なる確認にとどまらず、継続的改善活動の目標となる具体的な業務改善が必要なポイントや、リスクの洗い出しを行うことを目的としてコンサルタントが自ら各拠点の内部監査を実施します。
7.マネジメントレビュー
ISMS/ISO27001活動の集大成として経営陣に対して、ISMS/ISO27001活動の成果の報告を行います。
ISMS/ISO27001の改善の必要性やリスクアセスメント及びリスク対応計画の更新について検討し、更に会社に合った形でのISMS/ISO27001活動を実施していきます。
8.審査
ISMS/ISO27001において審査は、文書審査と現地審査の2段階に分けて行われます。
第1段階での文書審査では、作成した社内文書が要求事項(ISMS/ISO27001)に合っているかの審査を主に行います。
第2段階での現地審査では、各部門が社内文書に定めたルール通りに運用をしているか、また、現状の運用で規格上許容されない情報セキュリティ上のリスクがないか、審査を行います。
審査後に、不備があれば是正処置を社内にて実施し、審査機関に報告します。
是正処置が完了すると晴れてISMS/ISO27001の認証取得になります。
9.取得
審査機関から、認証書が届くとISMS/ISO27001の認証取得です。おめでとうございます。
なお、登録証や認証のマークがお手元に届くまで、合格の連絡が入ってから約1ヶ月ほどかかります。
10.運用・保守
認証取得は、マネジメントシステムの運用をしていくためのスタートラインに立ったことを意味しています。
本格的な運用を適切に行うことがむしろ課題で、ISMS/ISO27001が形骸化されず、ルールの遵守と継続的な改善が組織内の仕組みとして実施されるようにしていく必要があります。
LRMでは効果的に運用を行うことが可能になる様々な運用改善コースをご用意しております。
訪問回数無制限! 認証取得100%!
ISO27001取得のスケジュール
ISO27001の取得は、準備・運用の開始・申請・審査の順に進みますが、準備から運用の開始までおおむね3-4か月かかるのが標準的なスケジュールです。
また、ISO27001の規格に準拠しているというためには、実際に一度PDCAサイクルを回すことが求められるので、1サイクルをおおむね1事業年度で回すことを考え、申請までに1年かけることが一般的です。
その後審査が行われますが、審査対象の組織の規模、申請件数や審査機関での混雑状況などにもよってスケジュールが前後することがあります。
前後する期間は読めませんので、準備年度の翌年に申請、と大まかに考えておくとよいでしょう。
まとめ
ISO27001の取得には、自社の情報セキュリティマネジメントシステムに対する社会的な信用を得て、取引機会を増やす大きなメリットがある一方、費用や手間がかかる点がデメリットです。
デメリットのうち、手間に関しては、コンサルタントの活用などでカバーが可能です。
一方、企業の方針により早期に取得することを主眼とするか、安全管理策の向上を狙うか、また、企業の規模により認証取得期間の長短は変わります。自社に合ったスケジュールをコンサルタントの助言を得ながら立て、認証に臨むことをおすすめします。
また、LRM株式会社では、ISMS/ISO27001認証取得コンサルティングを行っております。2,300社以上の実績に基づくノウハウで、専門コンサルタントチームが取得までしっかりサポートします。また、情報セキュリティ教育クラウド「セキュリオ」で、効率的にISMSを運用できます。ISMS認証取得をご検討されている方や社内の情報セキュリティ管理にお悩みの方は、お気軽にご相談ください。
