ISMS認証の取得フロー

ISMS認証の取得フローイメージ

ISMS適用範囲の決定

ISMSは組織の必要に応じて適用範囲を定めることができます。企業がISMSを取得する場合、必ずしも適用範囲を全社とする必要はありません。
ISMS認証の適用対象について、ISO/IEC27001:2013の要求事項で「ISMSの適用範囲内に保有されるすべての情報資産」と規定しています。そのためISMS認証は、部門、事業所など、組織の一部を適用範囲とする認証取得が可能です。取得後に適用範囲を拡大することも可能です。

ISMS適用範囲例

事業 事業内容/業務内容
組織 組織図で示す組織(人員情報)
事業所 事業所名、施設名、部署名、所在地等
インフラ環境 ネットワーク環境、セグメント、ドメイン、情報システム等

ISMSの構築

情報資産管理の整備を行い、適切な情報セキュリティ体制を業務で運用するためのISMSを構築します。情報セキュリティポリシーとリスクアセスメントを通じて、会社の特性に合わせた構築が必要です。以下は企業のISMS構築で必要となる項目例です。

  • ISMSの責任者の任命とチームの設置
    ISMS管理責任者、ISMS内部監査責任者、ISMS推進チーム、ISMS内部監査チームの任命を行う。
  • 情報セキュリティポリシーの確立
    情報運用方針、運用規定、情報セキュリティに対する考え方など、情報セキュリティを保つための方針を規定する。
  • 情報セキュリティアセスメントの実施
    発生する可能性のある脅威と、発生確率や発生時の影響など、リスクの分析と評価を行い、リスクへの対策と管理策を決定する。
  • ISMS文書の作成
    ISMS適用宣言書の作成。適用する管理手順、管理策の文書化を行う。
  • ISMS導入トレーニング ISMSの業務導入と、情報セキュリティに関する意識向上のトレーニングを実施する。

ISMS認証審査

ISMS認証審査の申請受理後、認証機関による審査が開始されます。審査は原則として第一 段階と第二段階で行われます。 審査日数と工数は、認証範囲、受審組織の規模等により異なります。

ISMS認証審査フローイメージ

ISMS認証の維持と更新

ISMS認証規格に適合しているか、定期的な審査が行われます。ISMS初回審査の後、年1回以上の審査(サーベイランス審査)があります。そしてISMS認証の有効期限を更新するため、3年毎に再認証審査が実施されます。

ISMS認証取得のメリット・デメリット

ISMS認証のメリット

ISMS認証の大きなメリットは、国際基準の情報セキュリティを根拠とする対外的な信用を得られること、顧客から情報資産の取扱いの信頼を得られること、そしてISMSが参画の条件となるビジネスの機会を得られることです。 現在では重要な情報資産を扱う企業、主要各国の海外企業、官公庁入札では、ISMS認証取得を取引条件とする案件が主流です。ISMS認証の取得で、セキュリティ対策と情報資産の管理体制の根拠を示し、ISMS認証取得を必須とするビジネスの参画条件を得ることができます。

ISMS認証のもう一つの大きなメリットは、情報セキュリティリスクの低減です。多くの企業で、機密情報漏洩、不正アクセス、ランサムウェア被害など、セキュリティ体制の不備による事件が多発しています。企業でセキュリティインシデントが発生した場合、情報漏洩への賠償や訴訟、サービス停止など、重大な被害が発生します。ISMSの構築によって、顧客の個人情報や機密情報をセキュリティインシデントから保護し、インシデントに起因する重大なリスクを回避し、万一発生したインシデントに対処するセキュリティマネジメントで企業と顧客を守ります。

  • 国際基準の情報セキュリティで社会的な信頼を得られること
  • 顧客から情報資産の取扱いの信頼を得られること
  • ISMSが取引条件となるビジネスの機会を得られること
  • 重大なインシデントに対処するセキュリティマネジメント

ISMS認証のデメリット

ISMS認証のデメリットは、ISMS構築と維持に必要なコストが発生することです。ISMS認証取得には、担当責任者、担当チームの設置と、ISO/IEC 27001(JIS Q 27001)に適合するマニュアル、記録文書の作成と維持が必要です。取得後も年1回以上の審査(サーベイランス審査)があります。そしてISMS認証の有効期限を更新するため、3年毎に再認証審査が実施されます。企業規模によっては、プライバシーマークと同程度のコストが発生します。

  • ISMS構築と維持に必要なコストが発生する
  • 担当責任者、担当チームの設置と作業にかかわる工数が発生する
  • 企業規模によりプライバシーマークと同程度のコストが発生する

参考:ISMS認証とPマークの相違点

  ISMS Pマーク
規格 国際標準規格 ISO/IEC27001:2013
日本産業規格 JISQ27001:2014
日本産業規格 JISQ15001:2006
対象 適用範囲内の全ての情報資産全般
事業所単位、部門単位、事業単位の取得も可
企業内のすべての個人情報
企業全体
要求 情報の機密性・完全性・可用性の維持 適切な個人情報の取り扱い
更新 3年ごと、及び毎年の継続審査 2年ごと
セキュリティ対策 114項目の詳細管理策 合理的な安全対策

ISMSは情報資産の取扱いに応じて適用範囲を限定できますが、Pマークの適用範囲は全社です。 ISMSは情報資産の保護体制の構築が要求事項であり、企業に合わせたルールや文書を作成することができます。Pマークは個人情報保護が要求事項であり、手順や必要文書について規格で定められています。


ABOUT

会社概要

MAIL

メールお問い合わせ

TEL

電話でお問い合わせ

03-5225-6970(代表) 平日9時~18時

ACCESS

Googleマップを表示します

このサイトについて

サイトの安全性について

このサイトはジオトラストのSSLで保護されています。