ISO27001
COLUMNISO規格の知識コラム(ISO27001)

ISO27001

ISO27001(ISMS)要求事項をダウンロードする方法とポイント

2022.10.21
ISO27001(ISMS)要求事項をダウンロードする方法とポイント

ISO27001(ISMS)だけに限らず、ISO規格の要求事項(規格書)をダウンロードするためには、一般財団法人日本規格協会の書籍販売サイトで会員登録を行い、求める規格の要求事項を「購入」する必要があります。
一般財団法人日本規格協会の書籍販売サイトはこちら

本記事では、ISO27001(ISMS)要求事項ダウンロード(購入)を検討されている方向けに、ISO27001(ISMS)に関連する事項について分かりやすく解説致します。

一般財団法人日本規格協会とは

ISO規格の要求事項の販売元である一般財団法人日本規格協会は、日本産業規格であるJISの原案の作成・JIS規格票の発行・JISハンドブック等の出版物の発行等を行う日本の法人になります。

本部や支部では規格票の閲覧が可能で、以前は経済産業省 産業技術環境局所管の財団法人でしたが、公益法人制度改革に伴い一般社団法人へと以降しました。

70有余年にわたり「標準化および管理技術に関して、その開発、普及および啓発などを図り持って、社会経済の健全な発展と国民生活の向上に寄与する」という目的達成のために、各種事業を推進しています。

JISとは

日本産業規格であるJISとはJapanese Industrial Standardsの略。
日本の産業製品に関する規格や測定法などが定められた日本の国家規格になります。

自動車や電化製品等の産業製品生産に関するものから、文字コードやプログラムコードといった情報処理、サービスに関する規格もあります。

ISO27001(ISMS)とは

そもそもISO27001とは「Information Security Management Systems」の略称で、情報セキュリティマネジメントシステムに関するISO規格のことです。
英語名を略して「ISMS」とも呼ばれています。

組織が業務の中で数多く利用する情報。
それは組織の資源となりますが、保全や管理を疎かにしてしまっては、情報漏れ等により顧客からの信頼も失われてしまいます。

ISO27001(ISMS)では、このような組織にまつわる情報のセキュリティ・管理方法・マネジメント方法について定められています。

情報セキュリティマネジメントの重要点として下記3点が挙げられています。
組織が下記3点の状態を維持し、かつ、リスクを適切に管理しているという信頼を組織外の取引先に与えることが目的の一つです。

①機密性
認可を受けている人だけが情報を確認できる状態。

②完全性
情報が正しいまま維持されること。情報を最新の状態に保つことが重要。

③可用性
認可されている人がいつでも情報を閲覧したり編集したりできる状態。

情報セキュリティマネジメントの重要点

ISO27001(ISMS)を取得するメリット・デメリット

メリット
①取引先や顧客からの信頼を高めることができる
②売上機会の拡大
③社内の意識向上

デメリット
①書類作成に手間がかかる
②書類の保管や管理が大変
③審査費用がかかる

ISO27001(ISMS)を取得するメリット・デメリットについては以下の記事で詳しくご紹介しておりますので、併せてご一読ください。
ISO27001(ISMS)を取得するメリット・デメリット

GCERTIのISO27001(ISMS)審査は審査がスピーディ・審査料が安い・お客様の負担が少ない

ISO27001(ISMS)の要求事項とは

要求事項とは、その規格で求められている条件、つまりISO27001(ISMS)の規格で求められている条件のことです。
ISO27001(ISMS)では下記の通り10項目の要求事項が定められています。

1項 適応範囲
2項 引用規格
3項 用語及び定義
4項 組織の状況
5項 リーダーシップ
6項 計画
7項 支援
8項 運用
9項 パフォーマンス評価
10項 改善

+付属書A(114項の管理策)

この10項目の要求事項の中でも、今回は特に主要な要求事項について解説致します。

要求事項解説

4項 組織の状況
組織での内部、外部の課題、利害関係者のニーズの把握を行った上で適応範囲を決定することが求められています。
※利害関係者とは、組織内の従業員、取引先、外注先、購買先など広く定義されています。

5項 リーダーシップ
適応範囲の中で組織を指揮する最高責任者がコミットメントすることが必要であると求められています。

6項 計画
リスクアセスメントを行い、情報セキュリティの目的とそれを達成するための計画の作成が求められています。
※リスクアセスメントとは、1.リスクの特定、2.リスク分析、3.リスク評価の3つのプロセス全体のことを指します。

8項 運用
組織は要求事項を満たすため、そして計画したリスクアセスメントやリスク対応を実施するために、ISMSの活動を計画し、実施、管理していくことが求められています。

まとめ

如何でしたでしょうか?

本記事をお読み頂き、もしISO27001(ISMS)の取得に向け、動き出したいというお気持ちなられましたら、是非弊社へお問い合わせ頂き、取得に向けお手伝いをさせて下さい!!
全力でサポートして参ります!

本記事が皆様のお役に立つことが出来れば幸いです。

ISO27001(ISMS)に関するよくあるご質問

QISO27001(ISMS)内にある管理策とは何ですか?

特定のリスクの低減を目的として行う対策のガイドラインのことを指します。
現行の規格では、114項目の管理策(達成するための手段)が設けられており、組織の状況に合わせ各項目についての取り組み(社内の運用ルール)を策定します。

Q情報セキュリティにおけるリスクにはどんなものがありますか?

そもそも情報セキュリティリスクとは、目的に対する不確かな影響のことを指します。
そしてその中でも代表的なリスクとして、「脅威」と「脆弱性」の二つがあります。

「脅威」とは、情報の盗難や不正利用など、情報セキュリティにおけるリスクを発生させる要因のことを言います。

「脆弱性」とは、脅威の発生を誘引するようなセキュリティ対策上の欠落点のことを言います。

QISO27001(ISMS)とPマークとの違いは?

対象となる範囲が異なります。
Pマーク(PMS)は個人情報が対象となり、ISO27001(ISMS)は組織や企業が所持している情報資産(個人情報も含まれうる)が対象となります。

範囲で言うとISO27001(ISMS)の方が多岐にわたります。

  • SNSでシェアする

株式会社GCERTI-JAPANはISO審査機関(ISO認証機関)です。
ISO9001・ISO14001・ISO27001・ISO45001に関する審査及び審査に関するセミナー・研修の企画、運営についてお困りの際はお気軽にご相談ください。経験豊富な現役のISO審査員がお応え致します。

最後までお読みいただきありがとうございました。

小林 卓慈
小林 卓慈ISO審査員

一審査員として、社会貢献ができるよう努めてまいります。 また、営業面ではお客様にとって、より良い提案ができるよう、お客様とのコミュニケーションを大事にしております。

お問い合わせはこちら
お問い合わせはこちら
見積もり依頼 お問い合わせ
Social media & sharing icons powered by UltimatelySocial