ISO27001 COLUMNISO規格の知識コラム(ISO27001)
ISO27001 コラム
今これをお読みの方は、ISMSの認定を取得するためにどのような手続きが必要か知りたい方が多いのではないでしょうか。
しかし実はISMSには「認定」と「認証」があります。
そして紛らわしいことに両者は異なるもので、区別することが必要です。
そこで、この記事では両者の違いを解説します。
そのうえで、企業が実際にISMSを取得するときのメリットや流れについても解説していきます。
ISMSの取得について概略を知りたい企業のご担当者様はぜひ参考にしてみてください。
ISO・ISMS審査に関するご質問は
お気軽にお問い合わせください!お問い合わせフォーム
目次
「ISMS」とは、組織の情報セキュリティを管理するためのシステムのことをいいます。
「Information Security Management System(情報セキュリティマネジメントシステム)」を略した語です。
くわしくはこの後で説明しますが、国際規格の「ISO27001」と同じ意味で使われることが多くあります。
ISO27001は、企業で扱うあらゆる情報が対象で、個人情報に限りません。
その点がプライバシーマークとの違いの一つとなっています。
また、事業や拠点・部署単位など、運用する範囲を決めて取得することができるのもISO27001の特徴です。
ISMSの概略は以下の記事で詳しく説明しています。
ISMS(情報セキュリティマネジメントシステム)とは?あいまいになりがちな用語も整理して解説
情報の「機密性」「完全性」「可用性」は情報セキュリティの3要素とも呼ばれ、ISMS取得のポイントとなります。
具体的な内容は次の通りです。
取得の審査では上記3点が確認されます。
「ISMS」と「ISO27001」はほぼ同じ意味で使われ、その認識で問題はありません。
ただし厳密は違いがあります。一応違いを解説しておきましょう。
ISMSは、情報セキュリティマネジメントシステムの仕組みそのもののことです。
対してISO27001は、ISMSを構築するときの基準となる国際規格を指します。
情報セキュリティの国際規格には「ISO27017」もあります。
ISO27017は、情報セキュリティの中でもインターネットのクラウドセキュリティに限定した規格です。
ISO27017はISO27001を取得しないと取得できません。
ISO27017については以下の記事で詳しく説明しています。
ISO27017とは?取得の手順やメリットを解説します!
ISMSについては「認証」「認定」の用語がありますが、両者は違う内容を指します。
一般の企業が情報セキュリティのシステムを構築している証明として取得することは「認証」の方に当たります。
認証と認定、それぞれの違いについて見ていきましょう。
ISMSの「認証」とは、一般の企業に対して確実な情報セキュリティマネジメントシステムを構築できているか審査して問題ないと認めることです。
「ISMSの取得」というときは一般にこの「認証」を指します。
「認証取得」と呼ばれることもあります。
ISMSの「認定」の方は、一般企業への認証を行う「認証機関(審査機関)」に対して適切な審査ができているか審査して問題ないと認めることです。
自社のISMSの取得については、この「認定」の方はあまり考える必要がありません。
認証と認定は違う内容だと理解すること、自社の場合は「認証」の語を使うことだけ意識すれば十分です。
すでに述べたように、一般企業を審査するのはISMSの「認証機関」です。「審査機関」と呼ぶこともあります。
認証機関は国内に約60社あり、私どもGCERTI-JAPANもその1つです。
これに対し、認証機関を審査するのが「認定機関」です。審査機関の審査機関のようなイメージです。
日本国内の認定機関は「ISMS-AC(情報マネジメントシステム認定センター)」と「JAB(日本適合性認定協会)」の2つです。そのほか海外にもあります。
国内の認証機関はほとんどが国内の認定機関の認定を受けています。
ただし海外の認定機関の認定を受けている場合や複数の認定機関から認定を受けている場合もあります。
認証機関については、次の記事で詳しく説明しています。
ISO認証機関(ISO審査機関)の選び方
認証を受けた場合、使えるマーク・シンボルは認定機関か認証機関かが関係します。
認証を受けると、以下の2つのマークを使えるようになります。
使う際は利用のルールを守ることが必要です。
次に、ISMS認証を取得するメリットを簡単に解説します。以下の点が挙げられます。
順に見ていきましょう。
なお、メリットについては次の記事でも詳しく説明しています。
ISO27001(ISMS)とは?要求事項や認証取得のメリットについて基本から解説します!
ISMSの取得はセキュリティ事故発生の防止につながります。
ISMSは、外部からの攻撃はもちろん内部からの漏洩や紛失などの対処にも触れています。
そのため、包括的な情報セキュリティ対応が可能です。
国際基準であるISMSの認証を取得することで対外的に信頼感や安心感をアピールできます。
官公庁向けの入札案件では、ISMSの認証取得が入札参加企業の必須条件になるという例も見られるようになりました。
同業他社と差別化を図ることができ、競争力を高められます。
ISMSの認証取得は組織全体で取り組む必要があります。
その過程で全員の情報セキュリティに対する意識改革や知識の向上が見込めます。
また遵守すべき法令についても触れるため、コンプライアンス意識・知識の向上にもつながります。
ISMSの認証審査では、組織の業務内容や手順について確認していきます。
その過程で、今まで慣習だけであいまいになっていたものを明確にルール化したり、逆に実施するうえで障害となっていたようなルールの廃止を行ったりします。
その結果、組織全体の業務効率が向上します。
ISMSを取得すると、毎年マネジメント運用状況の確認審査を行います。
この繰り返しの中で継続的な改善が行われ、組織が活性化していきます。
最後に、実際にISO27001(ISMS)の認証取得審査を私どもGCERTI-JAPANで受けて頂く場合の流れと、おおよその必要な日数をご紹介します。
————————————————
打ち合わせ(適用範囲の決定・審査日の確保)+お見積り(審査費用の提示)
↓↓ 14日目安 ↓↓
申し込み(申込書・組織図記入)所要時間15分程度
※GCERTIでは申し込み時に情報セキュリティマニュアルの提出もお願いしております。
↓↓ 14日目安 ↓↓
契約締結(クラウドサイン)
↓↓ 60日目安 ↓↓
審査費用支払い(審査の前月末日まで)
↓↓ 30日目安 ↓↓
第一段階審査実施(申し込みから3ヶ月目安)
↓↓ 7日~30日目安 ↓↓
第二段階審査実施
↓↓ 45日目安 ↓↓
認証取得(認証書発行・ロゴマーク発行)
————————————————
通常1次審査から逆算して3か月前にお申込みが必要となります。
※ISO27001規格は現在どの審査機関でも審査日程確保が難航しているケースが多いため、特にお早めのご相談をお勧めいたします。
4~5か月前であれば比較的審査日が取りやすくなっています。
もちろんその前から確保することも可能です。
なお、全体の流れは以下の記事で詳しく解説しています。
ISO認証取得の流れって?全体の流れや手順、審査までに準備すべきことまで徹底解説!
ISMS認証には多くのメリットがありますが、準備には時間がかかります。
そのため、お早めのお申し込みをおすすめいたします。
疑問点や相談したいことなどがありましたら、お気軽に私どもGCERTI-JAPANにご連絡ください。
このすぐ下のお問い合わせフォームか、このページ最上部のボタンや電話番号からご連絡いただけます。
SNSでシェアする
株式会社GCERTI-JAPANは
ISO審査機関です。
コラムの内容やISOに関することでお困りの際はお気軽にご相談ください。
ISO審査員がお答えします。
一審査員として、社会貢献ができるよう努めてまいります。 また、営業面ではお客様にとって、より良い提案ができるよう、お客様とのコミュニケーションを大事にしております。
お問い合わせはこちら