ISO27001とは?ISMS認証取得の進め方について
ISMS(Information Security Management System)情報セキュリティマネジメントシステムとは、企業・組織における情報セキュリティ管理体制の国際基準です。ISO/IEC 27001はISMSの要求事項を定めた国際規格であり、日本語訳がJIS Q 27001です。
企業にとって、ITインフラや情報システム、通信ネットワーク、コンピュータデバイスは不可欠です。しかしITの普及と一般化が進むにつれて、情報漏洩、不正アクセス、ランサムウェア被害など、重大な事件が多発しています。セキュリティインシデントが発生した場合、情報漏えいやサービス停止、あるいは賠償や訴訟といった被害が発生します。
企業はISMSの構築によって、情報セキュリティのインシデントを回避するリスクマネジメント、情報資産の管理体制を確立し、国際基準に基づいた対外的な信用を得ます。
ISMSは、ISO/IEC27001:2013(JIS Q 27001:2014)の要求事項に適合させる必要があり、「CIA」と呼ばれる3要素「機密性(Confidentiality)・完全性(Integrity)・可用性(Availability)」を保全するようマネジメントシステムを構築します。
ISMSの構築は、情報が漏洩しない(機密性)、情報の改竄や誤りがない(完全性)、必要なときに必要な情報を利用できる(可用性)について、企業の業務・既存システム・ITインフラの規模・管理コストなどにマッチングするよう、多角的な検討が重要です。
ISMS要求事項、ISO/IEC 27001(JIS Q 27001)
ISMS構築には、情報セキュリティの国際規格である ISO/IEC 27001(JIS Q 27001)が必要です。
ISO/IEC 27001 は、ISO(International Organization for Standardization:国際標準化機構)が発行する国際規格です。ISO/IEC 27001を日本語翻訳し、日本国内の規格として発行されたのがJIS Q 27001です。ISO/IEC 27001規格とJIS Q27001規格は同じ内容であること(IDT:IDENTICAL)が認められています。
ISO/IEC27001(JIS Q 27001)は、企業・組織がISMSを構築し、情報資産の管理策の整備を行い、適切に情報セキュリティ体制を運用するための要求事項を定義しています。
【ISO/IEC27001:2013(JIS Q 27001:2014)の要求事項】
- 序文
- 適用範囲
- 引用規格
- 用語及び定義
- 組織の状況
- リーダーシップ
- 計画
- 支援
- 運用
- パフォーマンス評価
- 改善
- 附属書A
ISMS取得に必要となる認証機関の第三者証明
ISMSは、情報セキュリティマネジメントシステム(Information Security Management System)の略称です。そしてISMS認証は、該当企業の情報セキュリティマネジメントシステムについて、ISMS認証機関の審査を受け、ISO/IEC 27001要求事項の適合を証明して取得します。
ISMS認証の取得は、認証機関による審査が必要です。第三者である認証機関は、企業が構築した情報セキュリティマネジメントシステムについて、公平な立場で審査を行い、ISO/IEC 27001への規格適合を証明します。審査は取得時と、年1回の継続審査、3年に1回の再認証審査が必要です。
*ISMS認証と同義で使用されるものに「ISO/IEC 27001認証」「JIS Q 27001認証」があります。ISO/IEC 27001規格とJIS Q27001規格は同じであり(IDT:IDENTICAL)、ISO/IEC 27001認証、JIS Q 27001認証も同義です。
ISMS 適合性評価制度
ISMS、情報セキュリティマネジメントシステムの基準は、国際規格ISO/IEC 27001/日本産業規格 JIS Q 27001「情報セキュリティマネジメントシステム-要求事項」です。
企業によって構築されたISMSが、ISO27001/JISQ27001に適合していることを、第三者が評価、認定する制度が「ISMS適合性評価制度」です。ISMS適合性評価制度は「認証機関」「認定機関」「要員認証機関」から構成されます。
認証機関
組織のISMSを第三者機関として審査を行います。認証機関による審査がISMS認証審査です。
認定機関
認定機関は認証機関が適切にISMS認証審査を実施できるか審査を行います。認定機関による認証機関の審査が認定審査です。
要員認証機関
ISMS認証審査を行う審査員を認証(審査員として適切な力量があるか評価)します。ここで認証を受けた審査員が、ISMS認証機関に登録しISMS認証審査を行います。
ISMS認証機関を認定機関が認定する意義
認定機関は、ISMS認証機関の審査能力について、国際規格ISO/IEC 27006による審査を行います。要員認証機関についても同様の審査が行われています。
ISMS認証の取得フロー
ISMS認証の取得フローイメージ
ISMS適用範囲の決定
ISMSは組織の必要に応じて適用範囲を定めることができます。企業がISMSを取得する場合、必ずしも適用範囲を全社とする必要はありません。
ISMS認証の適用対象について、ISO/IEC27001:2013の要求事項で「ISMSの適用範囲内に保有されるすべての情報資産」と規定しています。そのためISMS認証は、部門、事業所など、組織の一部を適用範囲とする認証取得が可能です。取得後に適用範囲を拡大することも可能です。
ISMS適用範囲例
| 事業 | 事業内容/業務内容 |
| 組織 | 組織図で示す組織(人員情報) |
| 事業所 | 事業所名、施設名、部署名、所在地等 |
| インフラ環境 | ネットワーク環境、セグメント、ドメイン、情報システム等 |
ISMSの構築
情報資産管理の整備を行い、適切な情報セキュリティ体制を業務で運用するためのISMSを構築します。情報セキュリティポリシーとリスクアセスメントを通じて、会社の特性に合わせた構築が必要です。以下は企業のISMS構築で必要となる項目例です。
-
ISMSの責任者の任命とチームの設置
ISMS管理責任者、ISMS内部監査責任者、ISMS推進チーム、ISMS内部監査チームの任命を行う。 -
情報セキュリティポリシーの確立
情報運用方針、運用規定、情報セキュリティに対する考え方など、情報セキュリティを保つための方針を規定する。 -
情報セキュリティアセスメントの実施
発生する可能性のある脅威と、発生確率や発生時の影響など、リスクの分析と評価を行い、リスクへの対策と管理策を決定する。 - ISMS文書の作成
ISMS適用宣言書の作成。適用する管理手順、管理策の文書化を行う。 - ISMS導入トレーニング ISMSの業務導入と、情報セキュリティに関する意識向上のトレーニングを実施する。
ISMS認証審査
ISMS認証審査の申請受理後、認証機関による審査が開始されます。審査は原則として第一 段階と第二段階で行われます。 審査日数と工数は、認証範囲、受審組織の規模等により異なります。
ISMS認証審査フローイメージ
ISMS認証の維持と更新
ISMS認証規格に適合しているか、定期的な審査が行われます。ISMS初回審査の後、年1回以上の審査(サーベイランス審査)があります。そしてISMS認証の有効期限を更新するため、3年毎に再認証審査が実施されます。
ISMS認証取得のメリット・デメリット
ISMS認証のメリット
ISMS認証の大きなメリットは、国際基準の情報セキュリティを根拠とする対外的な信用を得られること、顧客から情報資産の取扱いの信頼を得られること、そしてISMSが参画の条件となるビジネスの機会を得られることです。 現在では重要な情報資産を扱う企業、主要各国の海外企業、官公庁入札では、ISMS認証取得を取引条件とする案件が主流です。ISMS認証の取得で、セキュリティ対策と情報資産の管理体制の根拠を示し、ISMS認証取得を必須とするビジネスの参画条件を得ることができます。
ISMS認証のもう一つの大きなメリットは、情報セキュリティリスクの低減です。多くの企業で、機密情報漏洩、不正アクセス、ランサムウェア被害など、セキュリティ体制の不備による事件が多発しています。企業でセキュリティインシデントが発生した場合、情報漏洩への賠償や訴訟、サービス停止など、重大な被害が発生します。ISMSの構築によって、顧客の個人情報や機密情報をセキュリティインシデントから保護し、インシデントに起因する重大なリスクを回避し、万一発生したインシデントに対処するセキュリティマネジメントで企業と顧客を守ります。
- 国際基準の情報セキュリティで社会的な信頼を得られること
- 顧客から情報資産の取扱いの信頼を得られること
- ISMSが取引条件となるビジネスの機会を得られること
- 重大なインシデントに対処するセキュリティマネジメント
ISMS認証のデメリット
ISMS認証のデメリットは、ISMS構築と維持に必要なコストが発生することです。ISMS認証取得には、担当責任者、担当チームの設置と、ISO/IEC 27001(JIS Q 27001)に適合するマニュアル、記録文書の作成と維持が必要です。取得後も年1回以上の審査(サーベイランス審査)があります。そしてISMS認証の有効期限を更新するため、3年毎に再認証審査が実施されます。企業規模によっては、プライバシーマークと同程度のコストが発生します。
- ISMS構築と維持に必要なコストが発生する
- 担当責任者、担当チームの設置と作業にかかわる工数が発生する
- 企業規模によりプライバシーマークと同程度のコストが発生する
参考:ISMS認証とPマークの相違点
| ISMS | Pマーク | |
|---|---|---|
| 規格 | 国際標準規格 ISO/IEC27001:2013 日本産業規格 JISQ27001:2014 |
日本産業規格 JISQ15001:2006 |
| 対象 | 適用範囲内の全ての情報資産全般 事業所単位、部門単位、事業単位の取得も可 |
企業内のすべての個人情報 企業全体 |
| 要求 | 情報の機密性・完全性・可用性の維持 | 適切な個人情報の取り扱い |
| 更新 | 3年ごと、及び毎年の継続審査 | 2年ごと |
| セキュリティ対策 | 114項目の詳細管理策 | 合理的な安全対策 |
ISMSは情報資産の取扱いに応じて適用範囲を限定できますが、Pマークの適用範囲は全社です。 ISMSは情報資産の保護体制の構築が要求事項であり、企業に合わせたルールや文書を作成することができます。Pマークは個人情報保護が要求事項であり、手順や必要文書について規格で定められています。