ISO27001 COLUMNISO規格の知識コラム(ISO27001)
ISO27001 コラム
ISMS(情報セキュリティマネジメントシステム)とは、自分たちの組織内における情報セキュリティのリスクを管理する仕組みの事を指します。
そのリスクを適切に管理を行う事で、保有する情報資産の「機密性」「完全性」「可用性」を維持し、社内の情報セキュリティ強化だけでなく利害関係者に対しても信頼を与える事が出来ます。
本記事では、ISMSについて詳しく解説をしていきます。
ISO・ISMS審査に関するご質問は
お気軽にお問い合わせください!お問い合わせフォーム
まずは改めて、「ISMS(情報セキュリティマネジメントシステム)」とは何か、ご説明します。
ISMSとは情報管理のためのシステム(運用・管理の仕組み)、ISO27001はISMSを構築・運用する際に基準となる規格です。
「Information Security Management System」の頭文字を取り、「ISMS」と呼ばれています。
和訳として、「情報セキュリティマネジメントシステム」とも呼ばれます。
ISMSは情報セキュリティを管理するためのシステムで、社内のあらゆる情報が対象となります。
ISO27001はISMSの国際規格(ルールブックのようなもの)で、日本語版に当たるのがJISQ27001と呼ばれるものです。
両者の違いは殆どありません。
ISO27001はISMSを構築・運用する際の基準であり、認証を受ける際の適合基準でもあります。
(審査員はこれを基準として審査を行い適合性と運用の有効性を確認します)
下記でも記載していますが、「ISMS認証」と同じ意味で使われることも多いです。
ISMS認証とは、ISMSが規格通りに構築・運用されていると第三者である認証機関が認定することで、この認証は企業全体でなく認証の範囲を絞って部署単位などで認証を受けることが可能です。
また、「ISO27001」が認証の意味で使われていることもあるので、「ISO27001取得」と言われたり書かれたりしている場合はこのISMS認証を受けたことを指します。
人により「ISMS取得」「ISO27001取得」と表現は異なりますが意味は殆ど一緒です。
関連記事として、下記も参考としてご覧頂ければと思います。
ISO27001(ISMS)とは?要求事項や認証取得のメリットについて基本から解説します!
ISO27017は、情報の中でも特にクラウドセキュリティに特化した国際規格となります。
クラウドを使用する組織も非常に増え、今注目されている規格と言えます。
そして、JISQ27017はISO27017の日本向け規格のようなもので内容としてはISO27017と殆ど変わりません。
そんなISO27017ですが、この認証は注意点としては単独取得が出来ず、ISO27001の認証を受けないと受けられない点があるため、ISO27001の認証を受けた上で取り組んでいく形となります。
ISO27017については下記記事でも解説をしています。
ISO27017とは?取得の手順やメリットを解説します!
プライバシーマーク(Pマーク)とは、個人情報に関する日本の国内規格であり、規格に適合していることを示す認証の事そのものも指します。
プライバシーマーク(Pマーク)の認証対象は、情報セキュリティ全般を範囲とするISO27001とは異なり個人情報のみが対象となります。
ただし、情報を保有しない部署含めた企業全体(事業者単位)が認証範囲となる為、部署や拠点を絞っての認証の取得が出来ません。
ISO27001は前述でも情報セキュリティ全般とお話ししましたが、認証の対象としては個人情報に限らず、対象が多岐にわたります(情報資産にあたる財務情報・技術情報・人事情報など)。
基本的にあらゆる情報資産が対象になります。
プライバシーマーク(Pマーク)とISO27001の違いは、下記記事でも解説をしていますので、参考にして頂ければと思います。
個人情報保護が目的?ISO27001(ISMS)とプライバシーマークの違い
ISMSには「機密性」「完全性」「可用性」の3つの要素があり、3つを確保することが情報セキュリティにつながります。
3要素を一言でCIAとも呼びます(「機密性」(Confidentiality)、「完全性」(Integrity)、「可用性」(Availability)の頭文字を取っている)
その3要素とは、どういったことなのか下記でご説明します。
機密性とは、許可された人だけが情報にアクセスできるように制限をする事です。
保護されるべき情報を、アクセス権がない外部ユーザーがアクセスし閲覧したり持ち出すことが出来ない仕組みが構築されていると、機密性が高いと言えます。
完全性とは、あるべきデータ・情報が全て揃っており、不具合や欠損なく内容が最新の状態であるよう維持する事です。
つまり、情報が不正に改ざんされたり、破壊等されないことを指します。
完全性が損なわれてしまうと、情報の正確さ・信頼性がなくなってしまいます。
可用性とは、利用する事が可能であること・その度合いを指します。使いたい時・アクセスしたい時にその情報にアクセスが出来るか、システムの場合だと継続稼働が出来るかという観点となります。
この可用性が損なわれてしまうと、利用不可の時間が長くなればなるほどビジネスへの影響が深刻になります。
ISMSに関する解説は下記記事でもありますので、参考にご覧いただければと思います。
ISO27001(ISMS)とは?要求事項や認証取得のメリットについて基本から解説します!
ISMS認証を受ける場合は、基準にのっとってISMSを構築すること、そして実際に運用することが求められます。
基本的には、以下の流れで行います。
構築を進める場合は、ISO27001規格の要求事項の理解も必要となります。
その際、ある程度知見のある方がいれば専任として担当してもらう・コンサルタントの助力を得ながら進める組織が多いです。
ISO27001に関する事は、下記記事も参考になればと思います。
ISO27001(ISMS)を企業が取得する目的って?
ISO27001(ISMS)の規格要求事項とは?
ISMSの運用としては、各従業員の社内教育の実施、リスク対応の実施、内部監査やマネジメントレビューの実施等様々な事があります。
また、その運用上の取組における記録等も、規格の中では文書化の要求がある部分もありますので、必要な記録は明文化として残しながらになります。
その運用を進めながら見出した改善ポイントを改善し、改善した内容が問題ないかレビューし、気づきがあれば改善をし…の流れを回していき、組織の情報セキュリティを強固なものにしていく事がISMSの本質となります。
そして、ISMSの認証を受けるには上記に記載した構築及び運用を行っている必要があります。
本記事では、ISMSについて解説をしていきました。
色々とお話をさせていただきましたが、ISMSの認証取得継続は組織の情報セキュリティの強化・内外からの信頼の獲得に繋がる取組となります。
本記事が認証取得を検討されている方や、どんなものか知りたいという方等みなさまの参考になれば幸いです。
SNSでシェアする
株式会社GCERTI-JAPANは
ISO審査機関です。
コラムの内容やISOに関することでお困りの際はお気軽にご相談ください。
ISO審査員がお答えします。
一審査員として、社会貢献ができるよう努めてまいります。 また、営業面ではお客様にとって、より良い提案ができるよう、お客様とのコミュニケーションを大事にしております。
お問い合わせはこちら