ISMS COLUMNISO規格の知識コラム(ISMS)
ISMS コラム
「ISMS認証基準とは何か?」と調べると、明確な定義が説明されていない記事も少なくありません。
ISMS認証基準とは、ISO27001に定められた「要求事項」を指し、認証を取得するために組織が満たすべき具体的な要件のことです。
本記事では、ISMS認証基準の定義を整理したうえで、要求事項の内容やリスクアセスメントの重要性、取得の流れまでわかりやすく解説します。
ISO・ISMS取得に関して
お悩みはありませんか?
ISO認証機関ジーサーティに
お任せください!
ISO認証取得をもっと早く、負担ゼロに。
ISMS認証基準とは、一言でいえばISO27001に定められた規格要求事項を指します。
本章では用語を整理しながら、その具体的な内容を解説します。
「ISO27001」と「ISMS」は同じ意味で使われることもありますが、厳密には異なります。
ISMSとは「情報セキュリティマネジメントシステム」の略で、組織が情報を適切に管理するための仕組みそのものを指します。
一方、ISO27001は、そのISMSが適切に構築・運用されているかを判断するための国際規格です。
「ISMS認証」や「ISO27001認証」とは、第三者機関によって自社のISMSがISO27001の要求事項に適合していると認められることを意味します。
ISO27001の要求事項とは、ISO27001認証を取得するために組織が満たさなければならない具体的な要件のことです。言い換えれば、認証を得るための基準や条件を指します。
したがって、ISMS認証基準とはISO27001の要求事項であるといえます。
内容は主に10項目で構成され、さらに附属書Aに示された管理策への対応も求められます。
詳細については「ISO27001(ISMS)の規格要求事項とは?」も参考にしてください。
https://gcerti.jp/column/iso27001-youkyuujikou/
ISO27001の要求事項は以下の項目で構成されています。
0項 序文
1項 適用範囲
2項 引用規格
3項 用語及び定義
4項 組織の状況
5項 リーダーシップ
6項 計画
7項 支援
8項 運用
9項 パフォーマンス評価
10項 改善
実質的に満たすべき要求事項は4項「組織の状況」から10項「改善」までです。
加えて、特定のリスクを低減するための対策を示した「管理策」が附属書Aに93項目掲載されています。
管理策はすべてを適用する必要はありませんが、除外する場合は合理的な理由を明確に示さなければなりません。
詳しくは以下の記事でも解説しています。
ISMSの管理策とは?要求事項との違いや具体例を解説
ISO27001の要求事項の中でも特に重要なのが「情報セキュリティリスクアセスメント」です。
これは「リスク特定」「リスク分析」「リスク評価」という一連のプロセスを通じて、自社が抱える情報セキュリティ上のリスクを洗い出し、対応方針を決定する仕組みを指します。この流れを確立し、継続的に実施することが認証取得の前提条件となります。
詳しくは以下の記事でも解説しています。
ISMSにおけるリスクアセスメントとは?情報セキュリティ対策を具体的に解説
ISMSを構築するうえで基盤となるのが、情報セキュリティの3要素である「機密性」「完全性」「可用性」です。
機密性とは、認可された人のみが情報にアクセスできるよう制限することを指します。
完全性は、情報が不正に改ざんされず、欠損なく最新の状態で保たれていることです。
可用性は、許可された利用者が必要なときに安全に情報を閲覧・利用できる状態を維持することを意味します。
これら3要素を満たす仕組みづくりがISO27001の中心です。
情報セキュリティリスクアセスメントは、「リスク特定」「リスク分析」「リスク評価」の3つのプロセスで構成されます。
リスク特定では、どのような危険性が存在するかを洗い出します。
リスク分析では、そのリスクの特性や影響度、影響範囲を整理します。
リスク評価では、どのリスクを優先的に対応すべきかを判断します。
すべてのリスクに対処する必要はありませんが、対応不要とする基準を明確に定めることが重要です。
ISMS認証を取得することで、まず情報セキュリティリスクの低減が期待できます。
体系的な管理体制を構築することで、事故や漏えいの可能性を抑えられます。
また、第三者認証を受けている事実は、取引先や顧客に対する信頼性や安心感の向上にもつながります。
さらに、社内のセキュリティ意識や知識の向上が進み、業務手順の整理やルールの明確化による効率アップも期待できます。
詳しくは以下の記事でも解説しています。
ISMS認証とは?メリットとデメリット・費用・取得方法【5分でわかる】
ISMS認証取得は、①適用範囲の決定から始まります。
対象は全社に限らず、部署単位での取得も可能です。
②情報セキュリティーポリシーを策定し、組織としての基本方針を明確にします。
③認証機関を選定し、④リスクアセスメントを実施します。
⑤内部監査とマネジメントレビューで運用状況を確認し、経営陣が改善方針を決定します。
最後に⑥認証審査を受け、基準を満たせば認証取得となります。
ISMS認証取得に向けた準備は、審査前までの構築・運用ステップを指し、大きく3つの方法があります。
ひとつは社内だけで進める内製による自力取得、ふたつ目は専門家であるコンサルタントを利用する方法、三つ目は専用ツールを活用して効率的に進める方法です。
それぞれにメリット・デメリットがあるため、自社のリソースや予算、期限を踏まえて総合的に判断することが重要です。
詳しくは以下の記事をご参照ください。
ISMS(ISO27001)の取得方法とは?流れも解説 – ジーサーティ・ジャパン
ISMS認証基準とは、ISO27001に定められた要求事項を指し、認証取得のために満たすべき具体的な要件のことです。要求事項は10項目と附属書Aの管理策で構成され、特に情報セキュリティリスクアセスメントが中心的な役割を果たします。
3要素(機密性・完全性・可用性)を踏まえた仕組みづくりと、計画的な審査対応が取得の鍵となります。
自社に合った準備方法を選び、着実に進めることが重要です。
SNSでシェアする
株式会社GCERTI-JAPANは
ISO審査機関です。
コラムの内容やISOに関することでお困りの際はお気軽にご相談ください。
ISO審査員がお答えします。
日々の審査を通じ、 知識の拡大に奮闘しております。 前職で培った丁寧さを持ち前に、お客様に寄り添う審査員として活動していきたいと思っております。
お問い合わせはこちら
0800-888-0442
