ISMS
基本知識
【3分で分かる】ISMS認証(ISO27001)とは?基本を簡単に分かりやすく解説
目次
ISMSとISO27001の基本
ISMS(Information Security Management System)は、組織の情報セキュリティを包括的に管理する仕組みのことです。ISO27001は、このISMSを構築・運用するための具体的な要求事項を定めた国際規格です。
ISMS認証取得を目指すのであれば、経営者や担当者は情報セキュリティとは何かをよく理解しておく必要があります。
ISMS(ISO27001)における情報セキュリティとは?
情報セキュリティとは、企業が持っている顧客の個人情報や企業活動に必要な機密情報を保護することです。そのためには、データの管理や送受信を行うシステムの安全性を高める必要があります。
ISMSでは、情報セキュリティの要素として以下の3つを定義しています。
機密保持
許可された人だけが情報を見られるように、IDやパスワードでアクセスを制限したり、社内ネットワーク内だけで情報を見れるようにしたりします。
安全性
情報の精度が保証されていて、かつ正しく保管できている状態のことです。誰かが勝手に情報を書き換えたり、ウイルスで情報が壊れたりしないように、しっかりと守ります。
可用性
情報を必要な時にすぐ取り出して安全に利用できる状態であるかを指します。システムが止まったり、情報が見つからなかったりすると困るので、いつでも使えるように準備しておくことが大切です。
ISMSが正しく機能していることを外部認証機関が審査し、基準を満たしていると認められた場合に「ISMS認証(ISO27001)」が取得できます。これは、情報セキュリティ管理が適切に行われているという証明になります。
企業がISO27001を導入する理由
企業がISO27001を導入する理由は以下の通りです。
- 顧客や取引先からの信頼向上
- 情報セキュリティリスクの低減
- 事業継続性の向上
- 新規顧客、案件の獲得
- 事業領域の拡大
ISO27001を導入する目的は企業によって様々です。
デジタルデータを取り扱う業務では、顧客は自分たちが提供する情報が安全に管理されているかという点を重視します。特に顧客からの信頼向上を目的としている場合、その信用性の担保として、目に見える国際的な標準規格であるISO27001を導入していることは大きなアドバンテージとなります。
また、ISMS認証は取得する時だけでなく、定期的に審査があり、適正な方法で情報を管理しているかがチェックされます。
ISMSの導入手順 :計画から実施までのプロセス
ISMSの導入手順はおおむね以下の通りです。これは、企業規模やコンサルタントによっても変わってきます。
- 計画策定
- 認定機関の選定
- ISMS構築と運用
- 内部監査とマネジメントレビュー
- 認証審査
-
1
1.計画策定 -
ISMSの導入に当たっては、計画の策定からスタートします。現状における情報管理体制や担当者、社内ルールなどを確認します。
-
2
2.認証機関の選定 -
認証機関を決めます。ISO認証機関は国内に複数あり、各社手数料や多少の実務的な流れが異なります。
ISMS認証は定期的に審査を受け続けていくことになりますので、長い目で見て、利用を続けやすい認証機関を選んだほうが良いでしょう。
-
3
3.ISMS構築と運用 -
ISMSの仕組みを社内で構築していきます。ISO27001で求めている要求事項に沿った形でルールを作り、リスクアセスメントを実施します。
セキュリティポリシーの策定も含まれており、社内に通知する必要があります。
-
4
4.内部監査とマネジメントレビュー -
内部監査を実施して、経営陣へマネジメントレビューを提出することで運用状況や改善点を明らかにします。
-
5
5.認証審査 -
認証機関による審査を受け、ISO27001の認証を取得します。
5.ISMS認証取得後に担当者は何をする?
ISMS認証を取得後は、担当者は定期的にISMSの運用状況をまとめた報告書を作成し、経営陣に報告する必要があります。
報告書では、『セキュリティルールが正しく守られているか』『システムに問題がないか』などを確認し、もし不備があれば対策を講じましょう!
ISMS導入後は、『1年に1度の維持審査』と『3年に1度の更新審査』を受ける必要があります。維持審査では、ISMSが適切に運用されているかを確認し、更新審査では、ISMSの有効性を再評価します。
担当者は、これらの審査に対応するために、ISMSの運用状況を記録し、必要な書類を作成する必要があります。
ISMSの運用と維持は、組織の情報セキュリティを確保するために不可欠なプロセスです。担当者は、PDCAサイクルを意識しながら、ISMSを継続的に改善していくことが重要です。
ISMS(ISO27001)認証取得のアドバイス
ISO27001認証取得は、専門知識や経験が必要となるため、コンサルタントのサポートを受けることをおすすめします。
コンサルタントは、現状分析、ルール策定、計画作成、審査対策など、さまざまな面でサポートを提供してくれます。
また、ISO27001では審査の際に経営陣に対するヒアリングも実施されます。経営陣が的確に応答できるようにコンサルタントからのサポートを受けるのも、審査をパスする上で役に立つはずです。
ISMS取得には、おおよそ6カ月から1年程度の期間が必要となります。長い期間がかかりますので、審査には確実にパスしたいものです。それだけに、豊富なノウハウと経験を持つコンサルを見つけて、スムーズに導入できるようにしましょう。