ISO27001 COLUMNISO規格の知識コラム(ISO27001)

ISO27001 コラム

ISO27001

ISO27001(ISMS)とは?要求事項や認証取得のメリットについて基本から解説します!

2021.09.27
ISO27001(ISMS)とは?基本から解説します

この記事の3つのポイント

  1. ISO27001(ISMS)では、個人識別に関する情報に限らず、前述の顧客情報、契約情報等のより広い範囲の情報をその対象としている
  2. 情報セキュリティマネジメントの重要点は機密性(confidentiality)、完全性(integrity)、可用性(availability)の3つ
  3. 取得のメリットは「情報セキュリティリスクの低減」「組織外に対する信頼感や安心感の向上」「組織内の意識改革・知識向上」「業務・手順の整理とルール確立と効率UP」「継続的な改善」

ISO27001とは「Information Security Management Systems」といい、その名の通り情報セキュリティマネジメントシステムについてのISO規格です。
英頭文字を取り、略称としてよく「ISMS」とも呼ばれています。

では、この情報セキュリティマネジメントとはどういったものなのでしょうか。

組織には、業務活動のなかで利用されたり、業務の積み重ねで蓄積されたりと、数多くの情報が存在しています。
例を挙げると、従業員等の組織内部の個人に関する情報、企業であれば顧客情報、契約情報、商品販売に関する情報、システム開発企業でいえばその開発データ等です。

それらはその組織にとってかけがえのない資産ですが、それら情報の保全や管理が疎かになっていたとしたら、どのようなことが起きると考えられるでしょうか。
組織の業務活動が上手く進まなくなったり、顧客からの信用が失われたり、もしかすると情報漏洩の事件としてニュースに取り上げられるような大きな問題になるかもしれません。

ISO27001(ISMS)では、このような組織にまつわる情報というもののセキュリティ・管理方法・マネジメント方法について定められています。

ISO・ISMS審査に関するご質問は
お気軽にお問い合わせください!
お問い合わせフォーム

個人情報保護との違いは?

情報セキュリティと聞くと、よくイメージされるのは個人情報保護という言葉です。
ISO27001(ISMS)とはどういう違いや関係性があるのでしょうか。

違いは、その対象としている情報の広さです。

個人情報保護は言葉の通り、個人識別に関する情報のみをその対象としています。
しかしISO27001(ISMS)では、個人識別に関する情報に限らず、前述の顧客情報、契約情報等のより広い範囲の情報をその対象としています。

もちろんですが、個人情報の保護に関する内容もISO27001(ISMS)には盛り込まれています。

ISO27001とISMSの違いとは?

情報セキュリティシステムに関する規格に関する話をする上で、どちらもよく登場する言葉です。

これらの言葉は、どちらも「情報セキュリティマネジメントシステム」と呼ばれほぼ同じ意味で用いられることが多いです。
(弊社もISO27001とISMSは同じ意味として各コラムでお話をさせて頂いております)

少し詳しくお話しをすると、ISMSは「Information Security Management System」の略であり、日本語訳がそのまま「情報セキュリティマネジメントシステム」となります。
言葉通りいわゆる「仕組み」のことを指します。

ISO27001はISMSの構築及び運用に関する方法を定めている国際規格のことを指しています。

それぞれ厳密な日本語でお伝えすると少し違いますが、通常話す際はおおむねどちらも同じ意味と捉えて頂いて問題ないかと思います。

ISO27001(ISMS)のポイント

ISO27001(ISMS)では、情報セキュリティマネジメントの重要点として下記3つを挙げています。

  1. 機密性(confidentiality)認可された者だけが、その情報にアクセスが出来る状態。
  2. 完全性(integrity)情報が破壊・改ざん・消去されていない状態。
  3. 可用性(availability)必要な者が必要な時にその情報にアクセスできる状態。

組織がこれら①②③の重要な状態を維持し、かつ、リスクを適切に管理しているという信頼を組織外の取引先等に与えることがの掲げる目的の一つです。
ISO27001(ISMS)では、この目的の為に、組織の情報セキュリティマネジメントを資産、人的、物理的、技術的、運用等の様々な面から見て管理運営することが求められています。

ISO27001(ISMS)とは?基本から解説します

ISO27001(ISMS)認証取得のメリット

認証取得を行った組織には、以下のようなメリットがあります。

1)情報セキュリティリスクの低減ができる。

セキュリティ事故発生の防止につながります。
ISO27001(ISMS)では、外部からの攻撃はもちろん、内部からの漏洩、紛失等にも触れられているため、包括的な情報セキュリティ対応が可能です。

2)組織外に対して、信頼感や安心感をアピールできる。

ISO27001(ISMS)がその目的にもしているように、国際基準であるISO27001(ISMS)を認証取得することで信頼感や安心感をアピールできます。
近年、日本国内で情報漏洩といったセキュリティ事故の発生が多く見られるようになりました。
そのため、ISO27001(ISMS)の重要性が増してきています。

官公庁向けの入札案件では、ISO27001(ISMS)の認証取得が入札参加企業の必須条件になるという例も見られ始めています。
企業であれば、同業他社と差別化を図れ、競争力を高めることができます。

3)組織内メンバーの意識改革・知識向上につながる。

ISO27001(ISMS)の認証取得は、組織のトップや担当者のみの活動に留まりません。
従業員やメンバーの教育、認識の一致等もポイントの一つとされているため、組織全体で取り組むものになります。

その過程で全員の情報セキュリティに対する意識改革や知識の向上が見込め、組織全体が同じ方向性を共有出来ます。
また遵守すべき法令についても触れられるため、コンプライアンス意識・知識の向上にもつながります。

4)業務・手順の整理とルール確立ができ、効率向上につながる。

ISO27001(ISMS)では、その認証審査のなかで組織の業務内容や手順についてヒアリングを行っていきます。
普段、組織内で当たり前のように無意識で実施している業務や手順、その一つ一つに対してスポットを当て確認をしていきます。

その過程で気付きと整理が行われ、今まで慣習だけで曖昧になっていたものを明確にルール化したり、逆に実施するうえで障害となっていたようなルールの廃止を行ったりと、スリムアップとブラッシュアップが見込めます。
結果、組織全体の業務効率が向上します。

また組織が保有している情報通信機器等の洗い出しや一覧化も行うため、組織の状況がより明確に見える良い機会となるでしょう。

5)継続的な改善ができる。企業価値が高まる。

ISO27001(ISMS)に限らないISO規格の共通事項ですが、取得した認証の有効期限は3年間です。
しかし毎年審査機関が組織に伺い、マネジメント運用状況の確認審査を行います。

この繰り返しのなかで、次に次にという継続的な改善が行われ、組織が活性化していきます。

ISO27001(ISMS)を取得するメリットについてはこちらの記事でさらに詳しくご説明しております。
併せてご参照ください。
ISO27001(ISMS)を取得するメリット・デメリット

ISO27001(ISMS)認証取得の流れ

では実際にISO27001(ISMS)認証取得審査を弊社GCERTI-JAPANで受けて頂く場合の流れと、おおよそのスケジュール感(必要な日数)をご紹介いたします。

打ち合わせ(適用範囲の決定・審査日の確保)+お見積り(審査費用の提示)

↓↓ 14日目安 ↓↓

申し込み(申込書・組織図記入)所要時間15分程度
※GCERTIでは申し込み時に情報セキュリティマニュアルの提出もお願いしております。

↓↓ 14日目安 ↓↓

契約締結(クラウドサイン)

↓↓ 60日目安 ↓↓

審査費用支払い(審査の前月末日まで)

↓↓ 30日目安 ↓↓

第一段階審査実施(申し込みから3ヶ月目安)

↓↓ 7日~30日目安 ↓↓

第二段階審査実施

↓↓ 45日目安 ↓↓

認証取得(認証書発行・ロゴマーク発行)

3つのポイント

  1. 通常1次審査から逆算して3か月前にお申込みが必要となります。
    ※ISO27001規格は現在どの審査機関でも審査日程確保が難航しているケースが多いため、特にお早めのご相談をお勧め致します。
  2. 4、5か月前であれば比較的審査日が取りやすいです。
    もちろん上記よりも前から確保することも可能です。
  3. 過去最短実績として、認証取得まで60日(2か月)の特急対応事例がございます。
    上記スケジュールはあくまで目安であり、審査員の空き状況などでも変動しますので、お気軽にご相談ください。

最短スピードで認証取得
したい方はこちら
お問い合わせフォーム

ISO27001(ISMS)の取得が多い主な業種

では、実際にISO27001(ISMS)を認証取得している企業にはどのような業界・業種が多いかをご紹介します。

  1. 情報サービス業 システム開発、ソフトウェア開発、アプリ開発、web制作等
  2. 広告業
  3. 人材派遣業
  4. 印刷業
  5. 食品製造・販売業
  6. 家具・インテリア製造業
  7. 各種デザイン業
  8. 介護・福祉業 等々

上記は一例であり、他にも様々な業界・業種の組織が認証取得を受けています。
ISO27001(ISMS)は、業種・業態を問わず、あらゆる組織が利用し認証を取得することが可能です。

GCERTIのISO27001(ISMS)審査は審査がスピーディ・審査料が安い・お客様の負担が少ない

認証取得企業様の声

東京都 S様 情報システム設計開発業

「経費も掛かるが、せっかく第三者の方の目が入る機会なので有効活用している。どんどん改善していきたい」

大阪府 J様 食品商品企画・販売業

「恥ずかしながら社長の私が指示しても上手く回らないところがあるが、『ISOが言っている』となると上手く回ることがある。助かっている」

東京都 B様 データ入力サービス業

「審査の指摘事項も分かりやすく、進行も丁寧だった」

東京都 A様 セキュリティ監視サービス業

「審査を通じて自分たちでは気付けない視点からアドバイスをもらえるので助かっている。」

かねてより企業経営に関しては「ヒト・モノ・カネ」の3要素が重要と言われてきました。
が、現在ではそれに「情報」が加わり、計4要素という考えが主流になっています。

この重要な要素である情報のセキュリティマネジメントについて、その国際認証規格であるISO27001(ISMS)について、当コラムが、必要か、必要でないかを考える一助となれば幸いです。

  • SNSでシェアする

1分でカンタン!
なんでも質問フォーム

株式会社GCERTI-JAPAN
ISO審査機関です。
コラムの内容やISOに関することでお困りの際はお気軽にご相談ください。
ISO審査員がお答えします。

田口 大貴
田口 大貴ISO審査員

主にISO審査員として活動しています。 お客様に寄り添い、お客様の意見や疑問点に即座に対応し、お客様が理解いただけるよう他社事例等交え、運用改善に尽力していきます。 お客様があなたに審査してもらってよかったと安心出来る審査員を心がけています。

お問い合わせはこちら
お問い合わせはこちら
無料お見積もり お問い合わせ

Social media & sharing icons powered by UltimatelySocial