ISO27001
COLUMNISO規格の知識コラム(ISO27001)

ISO27001

ISO27001(ISMS)とは?要求事項や認証取得のメリットについて基本から解説します!

2021.09.27
ISO27001(ISMS)とは?基本から解説します

この記事の3つのポイント

  1. ISO27001(ISMS)では、個人識別に関する情報に限らず、前述の顧客情報、契約情報等のより広い範囲の情報をその対象としている
  2. 情報セキュリティマネジメントの重要点は機密性(confidentiality)、完全性(integrity)、可用性(availability)の3つ
  3. 取得のメリットは「情報セキュリティリスクの低減」「組織外に対する信頼感や安心感の向上」「組織内の意識改革・知識向上」「業務・手順の整理とルール確立と効率UP」「継続的な改善」

ISO27001とは「Information Security Management Systems」といい、その名の通り情報セキュリティマネジメントシステムについてのISO規格です。
英頭文字を取り、略称としてよく「ISMS」とも呼ばれています。

では、この情報セキュリティマネジメントとはどういったものなのでしょうか。

組織には、業務活動のなかで利用されたり、業務の積み重ねで蓄積されたりと、数多くの情報が存在しています。
例を挙げると、従業員等の組織内部の個人に関する情報、企業であれば顧客情報、契約情報、商品販売に関する情報、システム開発企業でいえばその開発データ等です。

それらはその組織にとってかけがえのない資産ですが、それら情報の保全や管理が疎かになっていたとしたら、どのようなことが起きると考えられるでしょうか。
組織の業務活動が上手く進まなくなったり、顧客からの信用が失われたり、もしかすると情報漏洩の事件としてニュースに取り上げられるような大きな問題になるかもしれません。

ISO27001(ISMS)では、このような組織にまつわる情報というもののセキュリティ・管理方法・マネジメント方法について定められています。

GCERTIのISO27001(ISMS)審査は審査がスピーディ・審査料が安い・お客様の負担が少ない

個人情報保護との違いは?

情報セキュリティと聞くと、よくイメージされるのは個人情報保護という言葉です。
ISO27001(ISMS)とはどういう違いや関係性があるのでしょうか。

違いは、その対象としている情報の広さです。

個人情報保護は言葉の通り、個人識別に関する情報のみをその対象としています。
しかしISO27001(ISMS)では、個人識別に関する情報に限らず、前述の顧客情報、契約情報等のより広い範囲の情報をその対象としています。

もちろんですが、個人情報の保護に関する内容もISO27001(ISMS)には盛り込まれています。

ISO27001(ISMS)のポイント

ISO27001(ISMS)では、情報セキュリティマネジメントの重要点として下記3つを挙げています。

  1. 機密性(confidentiality)認可された者だけが、その情報にアクセスが出来る状態。
  2. 完全性(integrity)情報が破壊・改ざん・消去されていない状態。
  3. 可用性(availability)必要な者が必要な時にその情報にアクセスできる状態。

組織がこれら①②③の重要な状態を維持し、かつ、リスクを適切に管理しているという信頼を組織外の取引先等に与えることがの掲げる目的の一つです。
ISO27001(ISMS)では、この目的の為に、組織の情報セキュリティマネジメントを資産、人的、物理的、技術的、運用等の様々な面から見て管理運営することが求められています。

ISO27001(ISMS)とは?基本から解説します

ISO27001(ISMS)認証取得のメリット

認証取得を行った組織には、以下のようなメリットがあります。

1)情報セキュリティリスクの低減ができる。

セキュリティ事故発生の防止につながります。
ISO27001(ISMS)では、外部からの攻撃はもちろん、内部からの漏洩、紛失等にも触れられているため、包括的な情報セキュリティ対応が可能です。

2)組織外に対して、信頼感や安心感をアピールできる。

ISO27001(ISMS)がその目的にもしているように、国際基準であるISO27001(ISMS)を認証取得することで信頼感や安心感をアピールできます。
近年、日本国内で情報漏洩といったセキュリティ事故の発生が多く見られるようになりました。
そのため、ISO27001(ISMS)の重要性が増してきています。

官公庁向けの入札案件では、ISO27001(ISMS)の認証取得が入札参加企業の必須条件になるという例も見られ始めています。
企業であれば、同業他社と差別化を図れ、競争力を高めることができます。

3)組織内メンバーの意識改革・知識向上につながる。

ISO27001(ISMS)の認証取得は、組織のトップや担当者のみの活動に留まりません。
従業員やメンバーの教育、認識の一致等もポイントの一つとされているため、組織全体で取り組むものになります。

その過程で全員の情報セキュリティに対する意識改革や知識の向上が見込め、組織全体が同じ方向性を共有出来ます。
また遵守すべき法令についても触れられるため、コンプライアンス意識・知識の向上にもつながります。

4)業務・手順の整理とルール確立ができ、効率向上につながる。

ISO27001(ISMS)では、その認証審査のなかで組織の業務内容や手順についてヒアリングを行っていきます。
普段、組織内で当たり前のように無意識で実施している業務や手順、その一つ一つに対してスポットを当て確認をしていきます。

その過程で気付きと整理が行われ、今まで慣習だけで曖昧になっていたものを明確にルール化したり、逆に実施するうえで障害となっていたようなルールの廃止を行ったりと、スリムアップとブラッシュアップが見込めます。
結果、組織全体の業務効率が向上します。

また組織が保有している情報通信機器等の洗い出しや一覧化も行うため、組織の状況がより明確に見える良い機会となるでしょう。

5)継続的な改善ができる。企業価値が高まる。

ISO27001(ISMS)に限らないISO規格の共通事項ですが、取得した認証の有効期限は3年間です。
しかし毎年審査機関が組織に伺い、マネジメント運用状況の確認審査を行います。

この繰り返しのなかで、次に次にという継続的な改善が行われ、組織が活性化していきます。

ISO27001(ISMS)を取得するメリットについてはこちらの記事でさらに詳しくご説明しております。
併せてご参照ください。
ISO27001(ISMS)を取得するメリット・デメリット

株式会社GCERTI-JAPANはISO審査機関(ISO認証機関)です。
ISO9001・ISO14001・ISO27001・ISO45001に関する審査及び審査に関するセミナー・研修の企画、運営についてお困りの際はお気軽にご相談ください。経験豊富な現役のISO審査員がお応え致します。

ISO27001(ISMS)認証取得の流れ

では実際にISO27001(ISMS)認証取得審査を弊社GCERTI-JAPANで受けて頂く場合の流れと、おおよそのスケジュール感(必要な日数)をご紹介いたします。

打ち合わせ(適用範囲の決定・審査日の確保)+お見積り(審査費用の提示)

↓↓ 14日目安 ↓↓

申し込み(申込書・組織図記入)所要時間15分程度
※GCERTIでは申し込み時に情報セキュリティマニュアルの提出もお願いしております。

↓↓ 14日目安 ↓↓

契約締結(クラウドサイン)

↓↓ 60日目安 ↓↓

審査費用支払い(審査の前月末日まで)

↓↓ 30日目安 ↓↓

第一段階審査実施(申し込みから3ヶ月目安)

↓↓ 7日~30日目安 ↓↓

第二段階審査実施

↓↓ 45日目安 ↓↓

認証取得(認証書発行・ロゴマーク発行)

3つのポイント

  1. 通常1次審査から逆算して3か月前にお申込みが必要となります。
    ※ISO27001規格は現在どの審査機関でも審査日程確保が難航しているケースが多いため、特にお早めのご相談をお勧め致します。
  2. 4、5か月前であれば比較的審査日が取りやすいです。
    もちろん上記よりも前から確保することも可能です。
  3. 過去最短実績として、認証取得まで60日(2か月)の特急対応事例がございます。
    上記スケジュールはあくまで目安であり、審査員の空き状況などでも変動しますので、お気軽にご相談ください。

株式会社GCERTI-JAPANへのご相談・お問い合わせはこちら

GCERTIのISO27001(ISMS)審査は審査がスピーディ・審査料が安い・お客様の負担が少ない

ISO27001(ISMS)の取得が多い主な業種

では、実際にISO27001(ISMS)を認証取得している企業にはどのような業界・業種が多いかをご紹介します。

  1. 情報サービス業 システム開発、ソフトウェア開発、アプリ開発、web制作等
  2. 広告業
  3. 人材派遣業
  4. 印刷業
  5. 食品製造・販売業
  6. 家具・インテリア製造業
  7. 各種デザイン業
  8. 介護・福祉業 等々

上記は一例であり、他にも様々な業界・業種の組織が認証取得を受けています。
ISO27001(ISMS)は、業種・業態を問わず、あらゆる組織が利用し認証を取得することが可能です。

認証取得企業様の声

東京都 S様 情報システム設計開発業

「経費も掛かるが、せっかく第三者の方の目が入る機会なので有効活用している。どんどん改善していきたい」

大阪府 J様 食品商品企画・販売業

「恥ずかしながら社長の私が指示しても上手く回らないところがあるが、『ISOが言っている』となると上手く回ることがある。助かっている」

東京都 B様 データ入力サービス業

「審査の指摘事項も分かりやすく、進行も丁寧だった」

東京都 A様 セキュリティ監視サービス業

「審査を通じて自分たちでは気付けない視点からアドバイスをもらえるので助かっている。」

かねてより企業経営に関しては「ヒト・モノ・カネ」の3要素が重要と言われてきました。
が、現在ではそれに「情報」が加わり、計4要素という考えが主流になっています。

この重要な要素である情報のセキュリティマネジメントについて、その国際認証規格であるISO27001(ISMS)について、当コラムが、必要か、必要でないかを考える一助となれば幸いです。

ISO27001(ISMS)に関するよくあるご質問

QISO27001(ISMS)内にある管理策とは何ですか?

特定のリスクの低減を目的として行う対策のガイドラインのことを指します。
現行の規格では、114項目の管理策(達成するための手段)が設けられており、組織の状況に合わせ各項目についての取り組み(社内の運用ルール)を策定します。

Q情報セキュリティって何ですか?

情報セキュリティ(ISMS)とは、情報の機密性・完全性・可用性を維持し、かつ、リスクを適切に管理することを言います。

Q情報セキュリティにおけるリスクにはどんなものがありますか?

そもそも情報セキュリティリスクとは、目的に対する不確かな影響のことを指します。
そしてその中でも代表的なリスクとして、「脅威」と「脆弱性」の二つがあります。

「脅威」とは、情報の盗難や不正利用など、情報セキュリティにおけるリスクを発生させる要因のことを言います。

「脆弱性」とは、脅威の発生を誘引するようなセキュリティ対策上の欠落点のことを言います。

  • SNSでシェアする

1分でカンタン!
なんでも質問フォーム

株式会社GCERTI-JAPAN
ISO審査機関です。
コラムの内容やISOに関することでお困りの際はお気軽にご相談ください。
ISO審査員がお答えします。

田口 大貴
田口 大貴ISO審査員

主にISO審査員として活動しています。 お客様に寄り添い、お客様の意見や疑問点に即座に対応し、お客様が理解いただけるよう他社事例等交え、運用改善に尽力していきます。 お客様があなたに審査してもらってよかったと安心出来る審査員を心がけています。

お問い合わせはこちら
お問い合わせはこちら
無料お見積もり お問い合わせ
Social media & sharing icons powered by UltimatelySocial