ISO27001 COLUMNISO規格の知識コラム(ISO27001)
ISO27001 コラム
ISO27001とは情報セキュリティマネジメントシステム(ISMS)に関する国際規格です。
取得及び維持継続を行う事で、組織の継続的なセキュリティ強化・顧客及び利害関係者に信頼を与える事に繋がります。
今回は、ISO27001にとは何なのか?を詳しくご紹介していきます。
ISO・ISMS審査に関するご質問は
お気軽にお問い合わせください!お問い合わせフォーム
目次
情報セキュリティと聞くと、よくイメージされるのは個人情報保護という言葉です。
ISO27001(ISMS)とはどういう違いや関係性があるのでしょうか。
違いは、その対象としている情報の広さです。
個人情報保護は言葉の通り、個人識別に関する情報のみをその対象としています。
しかしISO27001(ISMS)では、個人識別に関する情報に限らず、前述の顧客情報、契約情報等のより広い範囲の情報をその対象としています。
もちろんですが、個人情報の保護に関する内容もISO27001(ISMS)には盛り込まれています。
また、個人情報の規格には「プライバシーマーク(Pマーク)」というものが存在しており、ISO27001と同様に取得・維持している組織が多数存在します。
プライバシーマークに関する詳細は後の記載でご案内します。
情報セキュリティシステムに関する規格に関する話をする上で、どちらもよく登場する言葉です。
これらの言葉は、どちらも「情報セキュリティマネジメントシステム」と呼ばれほぼ同じ意味で用いられることが多いです。
(弊社もISO27001とISMSは同じ意味として各コラムでお話をさせて頂いております)
少し詳しくお話しをすると、ISMSは「Information Security Management System」の略であり、日本語訳がそのまま「情報セキュリティマネジメントシステム」となります。
言葉通りいわゆる「仕組み」のことを指します。
ISO27001はISMSの構築及び運用に関する方法を定めている国際規格のことを指しています。
それぞれ厳密な日本語でお伝えすると少し違いますが、通常話す際はおおむねどちらも同じ意味と捉えて頂いて問題ないかと思います。
この記事内では、各規格と認証に関する解説をさせていただきますが、マネジメントシステムとしてのISMSは下記の記事にて解説をしておりますので、併せてご覧頂ければと思います。
ISMS(情報セキュリティマネジメントシステム)とは?あいまいになりがちな用語も整理して解説
プライバシーマーク(Pマーク)とは、企業や団体等事業者の個人情報保護の運用や管理体制状況が適切であることを消費者に対して示す制度です。
プライバシーマーク(Pマーク)は第三者の認証機関による認証を受ける事で認証マークの使用を認められ、対外的にもアピールを行う事が出来ます。
それでは、ISO27001とプライバシーマーク(Pマーク)は何が違うのか?その違いを下記にまとめました。
| ISO27001 | ➀全世界で有効な国際規格 ➁情報セキュリティ全般を対象 ➂事業や拠点、部署等適用範囲を限定し人取得可能 |
|---|---|
| プライバシーマーク(Pマーク) | ➀日本国内のみで有効 ➁個人情報保護に関する事が対象 ➂事業者単位での認証取得 |
大きな違いは上記となります。
さらに詳細な内容は下記の記事で解説をしていますので、併せてご覧頂ければと思います。
個人情報保護が目的?ISO27001(ISMS)とプライバシーマークの違い
認証取得を行った組織には、以下のようなメリットがあります。
セキュリティ事故発生の防止につながります。
ISO27001(ISMS)では、外部からの攻撃はもちろん、内部からの漏洩、紛失等にも触れられているため、包括的な情報セキュリティ対応が可能です。
ISO27001(ISMS)がその目的にもしているように、国際基準であるISO27001(ISMS)を認証取得することで信頼感や安心感をアピールできます。
近年、日本国内で情報漏洩といったセキュリティ事故の発生が多く見られるようになりました。
そのため、ISO27001(ISMS)の重要性が増してきています。
官公庁向けの入札案件では、ISO27001(ISMS)の認証取得が入札参加企業の必須条件になるという例も見られ始めています。
企業であれば、同業他社と差別化を図れ、競争力を高めることができます。
ISO27001(ISMS)の認証取得は、組織のトップや担当者のみの活動に留まりません。
従業員やメンバーの教育、認識の一致等もポイントの一つとされているため、組織全体で取り組むものになります。
その過程で全員の情報セキュリティに対する意識改革や知識の向上が見込め、組織全体が同じ方向性を共有出来ます。
また遵守すべき法令についても触れられるため、コンプライアンス意識・知識の向上にもつながります。
ISO27001(ISMS)では、その認証審査のなかで組織の業務内容や手順についてヒアリングを行っていきます。
普段、組織内で当たり前のように無意識で実施している業務や手順、その一つ一つに対してスポットを当て確認をしていきます。
その過程で気付きと整理が行われ、今まで慣習だけで曖昧になっていたものを明確にルール化したり、逆に実施するうえで障害となっていたようなルールの廃止を行ったりと、スリムアップとブラッシュアップが見込めます。
結果、組織全体の業務効率が向上します。
また組織が保有している情報通信機器等の洗い出しや一覧化も行うため、組織の状況がより明確に見える良い機会となるでしょう。
ISO27001(ISMS)に限らないISO規格の共通事項ですが、取得した認証の有効期限は3年間です。
しかし毎年審査機関が組織に伺い、マネジメント運用状況の確認審査を行います。
この繰り返しのなかで、次に次にという継続的な改善が行われ、組織が活性化していきます。
ISO27001(ISMS)を取得するメリットについてはこちらの記事でさらに詳しくご説明しております。
併せてご参照ください。
ISO27001(ISMS)を取得するメリット・デメリット
では実際にISO27001(ISMS)の認証取得審査を弊社GCERTI-JAPANで受けて頂く場合の流れと、おおよそのスケジュール感(必要な日数)をご紹介いたします。
打ち合わせ(適用範囲の決定・審査日の確保)+お見積り(審査費用の提示)
↓↓ 14日目安 ↓↓
申し込み(申込書・組織図記入)所要時間15分程度
※GCERTIでは申し込み時に情報セキュリティマニュアルの提出もお願いしております。
↓↓ 14日目安 ↓↓
契約締結(クラウドサイン)
↓↓ 60日目安 ↓↓
審査費用支払い(審査の前月末日まで)
↓↓ 30日目安 ↓↓
第一段階審査実施(申し込みから3ヶ月目安)
↓↓ 7日~30日目安 ↓↓
第二段階審査実施
↓↓ 45日目安 ↓↓
認証取得(認証書発行・ロゴマーク発行)
最短スピードで認証取得
したい方はこちらお問い合わせフォーム
また、ISO27001以外にも情報セキュリティに関する規格としてISO27017(クラウドサービスセキュリティ)も存在します。
ISO27017については下記の記事にて解説をしていますので、参考にしていただければと思います。
ISO27017とは?取得の手順やメリットを解説します!
では、実際にISO27001(ISMS)を認証取得している企業にはどのような業界・業種が多いかをご紹介します。
上記は一例であり、他にも様々な業界・業種の組織が認証取得を受けています。
ISO27001(ISMS)は、業種・業態を問わず、あらゆる組織が利用し認証を取得することが可能です。
ちなみに、プライバシーマーク(Pマーク)では、下記のような業界・業種での取得が比較的多い傾向にあります。
挙げだすときりがなくなりますが、主にBtoC取引(顧客が一般ユーザー)を行う事業者は特に取得をしている(BtoBでも取引上取得要求があるケースも有)傾向が強いです。
「経費も掛かるが、せっかく第三者の方の目が入る機会なので有効活用している。どんどん改善していきたい」
「恥ずかしながら社長の私が指示しても上手く回らないところがあるが、『ISOが言っている』となると上手く回ることがある。助かっている」
「審査の指摘事項も分かりやすく、進行も丁寧だった」
「審査を通じて自分たちでは気付けない視点からアドバイスをもらえるので助かっている。」
かねてより企業経営に関しては「ヒト・モノ・カネ」の3要素が重要と言われてきました。
が、現在ではそれに「情報」が加わり、計4要素という考えが主流になっています。
この重要な要素である情報のセキュリティマネジメントについて、その国際認証規格であるISO27001(ISMS)について、当コラムが、必要か、必要でないかを考える一助となれば幸いです。
SNSでシェアする
株式会社GCERTI-JAPANは
ISO審査機関です。
コラムの内容やISOに関することでお困りの際はお気軽にご相談ください。
ISO審査員がお答えします。
「企業の仕組み」に、ISOという観点で携わることができ、非常に嬉しく思います。ISO審査を通してお客様のご支援ができるよう、一日一日を大切にして自己研鑽していきます。
お問い合わせはこちら
