ISO27001
COLUMNISO規格の知識コラム(ISO27001)

ISO27001

ISO27001を企業が取得する目的って?

2021.11.12

ISO27001を企業が取得する目的は、大まかに分けて「顧客要求に応える・入札条件を満たす」というマーケティング視点の目的と、「ISO27001の規格要求をクリアすることで自社とその情報資産を守る」というマネジメント視点の目的が考えられます。

本記事では、まずISO27001という規格のそもそもの目的をご紹介し、企業活動においてその目的に則してISO27001を取得することによってどのようなメリットがあるのかを順番に解説いたします。

ISO27001とは?規格自体の目的について

ISO27001(情報マネジメントシステム)とは、その名の通りISO(国際標準化機構)が定めた情報に関するマネジメントシステムの国際標準規格です。

企業が保有する情報資産の「機密性」「完全性」「可用性」という3つの項目を確立し、適切にマネジメントして有効活用するための組織の枠組み作りを目的としています。

ISO27001における情報の「機密性」「完全性」「可用性」は具体的には以下のように定義されています。

「機密性」
悪意のあるアクセスや利用、人的なミスを防止するための設定

「完全性」
意図せず情報が変更されてしまうことを防止するための対策

「可用性」
必要なときに必要な情報を参照するためのバックアップや複数端末の準備

ISO27001における目的達成方法

では具体的にはどのように上記の目的を達成すればよいのでしょうか?
ISO27001構築の流れに則って見ていきましょう。

①ISO27001の適応範囲を決める
ISO27001は企業全体としてではなく、部門・部署ごとに取得することができるため、まずは任意でISO27001の適応範囲を決めます。
このとき、自社の業種や業態・規模、活動範囲(所在地)、適応範囲に含めない部門との関連性を考慮する必要があります。

②基本方針を決める
情報セキュリティに関する基本的な方向性や行動の指針を決定します。
ここでは、企業として情報セキュリティを構築する目的及び目標、情報資産の対象も併せて明確にします。

③リスクの評価方法を決める
自社が保有する情報がどこに存在し、それぞれどのような資産価値を持っているのかを洗い出します。いわば情報資産の棚卸し作業です。
ISO9001やISO27001を構築する際にもまずは現状を改めて見直して無駄を洗い出し、改善計画を立てるというステップがあります。
ISO規格の構築においてこの「洗い出し」は非常に重要かつ必要不可欠なステップであり、システム構築上のノウハウが必要になります。

④リスクの識別
ステップ③で洗い出した情報資産に対して考えられるリスクとその影響を明確にします。
ここでは、ISO27001において重要なファクターである「機密性」「完全性」「可用性」という3つの切り口から、情報の資産価値(=その情報が失われた場合の損害の大きさ)を評価します。

⑤リスク評価を実施
ステップ④までで洗い出し、識別した項目に対して数値を基にした定量的評価を行います。
これによって明確な管理目標値を設定することができます。

⑥リスク対応
ここまでで特定されたリスクに対する対応計画を作成します。

以上の手順で作成した対応計画を基に企業が保有する情報資産の「機密性」「完全性」「可用性」という3つの項目を確立し、適切にマネジメントして有効活用するための組織の枠組み作りという目的を実現していきます。

ISO27001を取得する目的と考えられるメリット

すでにISO27001を取得されている多くの企業では、ISO27001認証の取得を考えたきっかけは取引先からの要求や入札条件を満たすためなど、ある種「ISO27001を取得しないといけなかった」から取得したというお話も多く伺います。

しかし、ISO27001を取得すると上記のようなマーケティング視点でのメリットだけでなく、マネジメント視点でのメリットもたくさんあります。
このことをしっかりと理解し、ISO27001取得の目的として掲げることができるとISO取得後にもより実用的でメリットの多い運用が可能になります。

以下で考えられるマネジメント視点でのメリットをまとめましたので、ぜひご参考ください。

従業員の情報セキュリティに対する意識の向上

ISO27001では定期的な従業員への情報セキュリティ教育が必須となっているため、他社の情報漏洩事故の事例や起こりうる情報セキュリティ事故、情報管理における意識を学ぶことで従業員ひとりひとりの情報セキュリティ意識が高まり、事故を減らすことができます。

適切な情報セキュリティ管理でリスクを避けられる

リスクを把握できていれば、そのリスクに対する対応計画を立てることができます。
リスクアセスメント+リスク対応計画を年に1回など定期的に行うことで、常に情報セキュリティリスクに対する事前準備ができるようになり、組織全体で適切な情報セキュリティ管理ができている状態を保つことができます。

情報の活用、業務効率の向上

ISO27001では情報を整理整頓し、必要なときに必要な情報にいつでもアクセスできるようにすることが求められています。
つまり、ISO27001を取得しているということは無駄な時間や手間をかけずに情報へアクセスできる状態が保たれている=業務効率がアップする、と考えられるでしょう。

ISO27001を取得するメリットについてはこちらの記事でさらに詳しくご説明しております。
併せてご参照ください。

ISO27001を取得するメリット・デメリット

株式会社GCERTI-JAPANはISO審査機関(ISO認証機関)です。
ISO9001・ISO14001・ISO27001・ISO45001に関する審査及び審査に関するセミナー・研修の企画、運営についてお困りの際はお気軽にご相談ください。経験豊富な現役のISO審査員がお応え致します。

最後までお読みいただきありがとうございました。

小野 友梨香
小野 友梨香ISO事務局員
普段の仕事は日程調整や内部のシステム改善。趣味は旅行と散歩で休日は3〜4時間歩いています。 元気に働いていますので不明点あればお気軽にご相談下さい。
見積もり依頼 お問い合わせ