ISO27001
COLUMNISO規格の知識コラム(ISO27001)
ISO27001とは「Information Security Management Systems」といい、その名の通り情報セキュリティマネジメントシステムについてのISO規格です。
英頭文字を取り、略称としてよく「ISMS」とも呼ばれています。
では、この情報セキュリティマネジメントとはどういったものなのでしょうか。
組織には、業務活動のなかで利用されたり、業務の積み重ねで蓄積されたりと、数多くの情報が存在しています。
例を挙げると、従業員等の組織内部の個人に関する情報、企業であれば顧客情報、契約情報、商品販売に関する情報、システム開発企業でいえばその開発データ等です。
それらはその組織にとってかけがえのない資産ですが、それら情報の保全や管理が疎かになっていたとしたら、どのようなことが起きると考えられるでしょうか。
組織の業務活動が上手く進まなくなったり、顧客からの信用が失われたり、もしかすると情報漏洩の事件としてニュースに取り上げられるような大きな問題になるかもしれません。
ISO27001(ISMS)では、このような組織にまつわる情報というもののセキュリティ・管理方法・マネジメント方法について定められています。
目次
情報セキュリティと聞くと、よくイメージされるのは個人情報保護という言葉です。
ISO27001(ISMS)とはどういう違いや関係性があるのでしょうか。
違いは、その対象としている情報の広さです。
個人情報保護は言葉の通り、個人識別に関する情報のみをその対象としています。
しかしISO27001(ISMS)では、個人識別に関する情報に限らず、前述の顧客情報、契約情報等のより広い範囲の情報をその対象としています。
もちろんですが、個人情報の保護に関する内容もISO27001(ISMS)には盛り込まれています。
ISO27001(ISMS)では、情報セキュリティマネジメントの重要点として下記3つを挙げています。
組織がこれら①②③の重要な状態を維持し、かつ、リスクを適切に管理しているという信頼を組織外の取引先等に与えることがの掲げる目的の一つです。
ISO27001(ISMS)では、この目的の為に、組織の情報セキュリティマネジメントを資産、人的、物理的、技術的、運用等の様々な面から見て管理運営することが求められています。
認証取得を行った組織には、以下のようなメリットがあります。
セキュリティ事故発生の防止につながります。
ISO27001(ISMS)では、外部からの攻撃はもちろん、内部からの漏洩、紛失等にも触れられているため、包括的な情報セキュリティ対応が可能です。
ISO27001(ISMS)がその目的にもしているように、国際基準であるISO27001(ISMS)を認証取得することで信頼感や安心感をアピールできます。
近年、日本国内で情報漏洩といったセキュリティ事故の発生が多く見られるようになりました。
そのため、ISO27001(ISMS)の重要性が増してきています。
官公庁向けの入札案件では、ISO27001(ISMS)の認証取得が入札参加企業の必須条件になるという例も見られ始めています。
企業であれば、同業他社と差別化を図れ、競争力を高めることができます。
ISO27001(ISMS)の認証取得は、組織のトップや担当者のみの活動に留まりません。
従業員やメンバーの教育、認識の一致等もポイントの一つとされているため、組織全体で取り組むものになります。
その過程で全員の情報セキュリティに対する意識改革や知識の向上が見込め、組織全体が同じ方向性を共有出来ます。
また遵守すべき法令についても触れられるため、コンプライアンス意識・知識の向上にもつながります。
ISO27001(ISMS)では、その認証審査のなかで組織の業務内容や手順についてヒアリングを行っていきます。
普段、組織内で当たり前のように無意識で実施している業務や手順、その一つ一つに対してスポットを当て確認をしていきます。
その過程で気付きと整理が行われ、今まで慣習だけで曖昧になっていたものを明確にルール化したり、逆に実施するうえで障害となっていたようなルールの廃止を行ったりと、スリムアップとブラッシュアップが見込めます。
結果、組織全体の業務効率が向上します。
また組織が保有している情報通信機器等の洗い出しや一覧化も行うため、組織の状況がより明確に見える良い機会となるでしょう。
ISO27001(ISMS)に限らないISO規格の共通事項ですが、取得した認証の有効期限は3年間です。
しかし毎年審査機関が組織に伺い、マネジメント運用状況の確認審査を行います。
この繰り返しのなかで、次に次にという継続的な改善が行われ、組織が活性化していきます。
ISO27001(ISMS)を取得するメリットについてはこちらの記事でさらに詳しくご説明しております。
併せてご参照ください。
ISO27001(ISMS)を取得するメリット・デメリット
株式会社GCERTI-JAPANはISO審査機関(ISO認証機関)です。
ISO9001・ISO14001・ISO27001・ISO45001に関する審査及び審査に関するセミナー・研修の企画、運営についてお困りの際はお気軽にご相談ください。経験豊富な現役のISO審査員がお応え致します。
では実際にISO27001(ISMS)の認証取得審査を弊社GCERTI-JAPANで受けて頂く場合の流れと、おおよそのスケジュール感(必要な日数)をご紹介いたします。
打ち合わせ(適用範囲の決定・審査日の確保)+お見積り(審査費用の提示)
↓↓ 14日目安 ↓↓
申し込み(申込書・組織図記入)所要時間15分程度
※GCERTIでは申し込み時に情報セキュリティマニュアルの提出もお願いしております。
↓↓ 14日目安 ↓↓
契約締結(クラウドサイン)
↓↓ 60日目安 ↓↓
審査費用支払い(審査の前月末日まで)
↓↓ 30日目安 ↓↓
第一段階審査実施(申し込みから3ヶ月目安)
↓↓ 7日~30日目安 ↓↓
第二段階審査実施
↓↓ 45日目安 ↓↓
認証取得(認証書発行・ロゴマーク発行)
株式会社GCERTI-JAPANへのご相談・お問い合わせはこちら
では、実際にISO27001(ISMS)を認証取得している企業にはどのような業界・業種が多いかをご紹介します。
上記は一例であり、他にも様々な業界・業種の組織が認証取得を受けています。
ISO27001(ISMS)は、業種・業態を問わず、あらゆる組織が利用し認証を取得することが可能です。
「経費も掛かるが、せっかく第三者の方の目が入る機会なので有効活用している。どんどん改善していきたい」
「恥ずかしながら社長の私が指示しても上手く回らないところがあるが、『ISOが言っている』となると上手く回ることがある。助かっている」
「審査の指摘事項も分かりやすく、進行も丁寧だった」
「審査を通じて自分たちでは気付けない視点からアドバイスをもらえるので助かっている。」
かねてより企業経営に関しては「ヒト・モノ・カネ」の3要素が重要と言われてきました。
が、現在ではそれに「情報」が加わり、計4要素という考えが主流になっています。
この重要な要素である情報のセキュリティマネジメントについて、その国際認証規格であるISO27001(ISMS)について、当コラムが、必要か、必要でないかを考える一助となれば幸いです。
特定のリスクの低減を目的として行う対策のガイドラインのことを指します。
現行の規格では、114項目の管理策(達成するための手段)が設けられており、組織の状況に合わせ各項目についての取り組み(社内の運用ルール)を策定します。
情報セキュリティ(ISMS)とは、情報の機密性・完全性・可用性を維持し、かつ、リスクを適切に管理することを言います。
そもそも情報セキュリティリスクとは、目的に対する不確かな影響のことを指します。
そしてその中でも代表的なリスクとして、「脅威」と「脆弱性」の二つがあります。
「脅威」とは、情報の盗難や不正利用など、情報セキュリティにおけるリスクを発生させる要因のことを言います。
「脆弱性」とは、脅威の発生を誘引するようなセキュリティ対策上の欠落点のことを言います。
SNSでシェアする
株式会社GCERTI-JAPANは
ISO審査機関です。
コラムの内容やISOに関することでお困りの際はお気軽にご相談ください。
ISO審査員がお答えします。
主にISO審査員として活動しています。 お客様に寄り添い、お客様の意見や疑問点に即座に対応し、お客様が理解いただけるよう他社事例等交え、運用改善に尽力していきます。 お客様があなたに審査してもらってよかったと安心出来る審査員を心がけています。
お問い合わせはこちら