ISO27001はプライバシーマークと異なり、情報全般のセキュリティが求められます。セキュリティの語源は「気配り」だと言われています。情報への気配りとは、情報の機密性を担保するだけでなく、正確でタイムリーに情報を提供することも含まれます。ユーピーエフでは、情報への気配りを大切にしながら、お客様の情報セキュリティマネジメントシステム(ISMS)の構築をご支援いたします。
ISO27001取得になるべく手間を省きたいとお考えのお客様や、とにかく迅速に取得したいとお考えの企業様、ISO27001の維持や更新をお考えのお客様、認証取得を通じて社内の仕事の管理体制を整えたいとお考えのお客様まで、さまざまなご要望にお応えできるコンサルティングなら、ユーピーエフにお任せください。
そもそもISO27001(ISMS)とは何ですか?
ISMS = Information Security Management Systemの略語です。
(情報セキュリティマネジメントシステム)
社内ルールをどのように「構築」し、どのように「運用」すれば、認証を取得することができるのかを定めた「要求事項=審査の基準」の国際規格のことです。
日本では、ISO27001が正式発行される前に、「ISMS適合性評価制度」として認証 制度が運用されていたため、ISO27001=ISMSという認識が根付いていますが、本来は、ISO27001が「規格名称」、ISMSは「仕組み」の名称です。
では、情報セキュリティとは何ですか?
ISO27001でいう情報セキュリティとは、上記のような特性を保護することであり、
規格要求上では最低限ISMSを取得するには
①機密性 ②完全性 ③可用性 の保護体制の構築が必要です。
セキュリティ品質の最適化のための
PDCAサイクル作成!
それがISMSの取り組みです
PDCAサイクル作成!
それがISMSの取り組みです
Cの結果対応
(是正の処置、改善活動)
(是正の処置、改善活動)
Dのチェック
(監視・監査・評価)
(監視・監査・評価)
Aを受けた計画
計画(P)の実行
上図のような「継続的な改善」を実現するPDCAサイクルを回し続けることで、最適化を図っていくことになりますが、プロジェクトの導入時は「C」から開始する組織もあります。
(現状のルールが妥当なのか?それをどの程度運用できているのか?のチェックから始めるということです)
取り組みの結果、期待できること(例)
【業務効率の改善】
組織内にどのような情報がどこに存在するのか把握すること。
また、書類やデータを探す時間を短縮することができるため、これによっても業務効率が改善されます。
【適切なリスク対応の実現】
例えば、上記の裏返しで、情報を共有することによるリスクを把握することができ、適切なアクセスコントロール(共有する必要が無い人員にはアクセス権を与えない)を実現することで情報漏えいリスク等を低減することができます。
【事業継続性の向上】
訴訟やトラブル対応の際に、記録等により組織が適切な対応をしていたことを証明し易くなり、事業継続性が向上します。
サポート(コンサルティング)開始までの流れ
全ての工程を我々がサポートします
プライバシーマーク(Pマーク)と
ISO27001(ISMS)との相違点比較
プライバシーマーク | ISO27001/ISMS ※関連子会社のUPFセキュリティー株式会社にて取得 | |
| 対象 | 個人情報 | 組織が判断する全ての情報 |
| 規格 | JISQ15001:2006 | JISQ27001:2014 (ISO/IEC 27001:2014) |
| 付与単位 | 法人単位 | 組織が決めた適用範囲 (事業単位、拠点単位等、法人単位、グループ企業単位等) |
| 付与期間 | 2年間 | 3年間 |
| 審査 | 2年に1回の更新審査 | 毎年サーベラス(部分審査) &3年に1回更新審査 |
| 審査期間 | 条件合わせて固定されており、ほぼ、選択の余地無し | 26審査機関から審査費用や審査特色、 ANAB認証の有無等で選択可能 |
| 審査費用 | 初回:30万、60万、120万 更新:22万、45万、90万 企業規模(小、中、大)により決定 | 初回:審査機関により異なります サーベラス:初回費用の約1/3 更新:初回費用の約2/3 ※上記はあくまでも参考費用であり、 審査期間ことの見積により変化します |
| その他 | 認定機関への申請から審査まで 約2か月以上の待機期間が生じる。 審査の混み具合等により変化。 (過去、3ヶ月近く待機した事例あり) | 予め審査日程を数か月前に予約することが 可能となるため、待機期間を生じない。 |
ISMS適用範囲の決定
コンサルティング内容の基本パターンとカスタマイズ
| 主な項目 | 基本パターン | 変更・追加パターン |
| リスクアセスメント | リスクアセスメントの手順の説明 サンプル手順の提供 リスクアセスメント結果のレビュー作成 | アセスメントの代行 |
| 文書作成 | サンプル文書の提供、読み合わせ 文書修正結果のレビュー作成 | カスタマイズしたサンプル文書の提供 文書修正作業の代行 |
| 教育 | 教育資料の作成 社員や役員の研修の実施 | 研修記録の作成 |
| 運用管理 | オフサイトにて相談受付 | 定期訪問によるシステム運用状況の確認 |
| 内部監査 | 内部監査員養成研修の実施 内部監査の立ち会い 改善策の提案 | 内部監査の代行 内部監査記録の作成 |
| マネジメントレビュー | マネジメント見直しの立ち会い | マネジメント見直し記録の作成代行 |
| 審査 | 模擬審査の実施、審査傾向の案内 審査での指摘事項の対応策提案 | 審査の立合い |
研修サービス
個人情報管理事業者としての理解を深める
ISMS教育 < 全社員様対象 >キックオフ後、約2カ月後に実施
ISMSを保持する企業が必ず実施しなければいけない内容に 貴社の体制や業種、各社毎に定めたルールを全社員に周知する教育セミナーです。 ※eラーニングもございます。
■ 個人情報を扱う企業で勤務する従業員が行なわなければいけないポイントが理解できます
■ 定めたマネジメントシステムの運用方法が社内に普及します
取得後の研修サービス
ISMS担当者向け研修 < 個人情報保護管理責任者様及びISMS関係者様 >各エリア 月1回開催
弊社のお客様であれば個人情報保護管理責任者様向け講習に、何度でも
無料でご参加いただけます。
※UPFのお客様以外は有料:5万円(税別)
■ 研修を通じてISMS担当者としてのスキルアップが出来ます
■ ISMSのマネジメント力、ヒューマンスキルを向上させることが出来ます
UPFにコンサルティングをご依頼頂くメリット(まだまだあります!)
… 実はこんなサービスもデフォルトでついてます
① バックアップとしての機能
お客さま側でご担当者様が変わった際や、更新時に新規時(または前回の更新時)のやり取りがわからなくなってしまうことがよくあります。
そんな時の為に、コンサルティング中の履歴や状態、資料などは全て当社で保管しております。
万一ご担当者様が変更成された場合も、当社で引継ぎ業務のお手伝いをさせて頂きますのでご安心ください。
② 規定・様式管理(保管)システムの無償利用
作成した規定様式の保管に関しましては、紙ファイルで保管したもののほかにデジタルデータでも保管して頂きます。
そのデジタルデータを当社サーバーシステムにて無料で管理・保管して頂けます。
万一、更新時にデジタルデータが紛失してしまった際も当社がしっかりと安全に保管しておりますのでご安心ください。
※当社のお客様でない企業様へは有料サービス(5,000/月)となっております
サポート(コンサルティング)開始までの流れ
まずはお問い合わせをお願いします
ISO27001認証取得コンサルティングをご検討の方は、
まず、お電話もしくはお問い合わせフォームより弊社までご連絡をください。
当社コンサルタントが貴社へ訪問して流れとコストのご説明
実際に最適な資産のためお客様のもとへご訪問し、コンサルティングの手法や流れについての概要をご説明させて頂きます。お客様毎のご状況や、支援のプラン、見積書の作成のために必要なことをヒヤリングさせて頂きます。
お見積書のご提出
ヒアリングの内容より、お客様に最適なコンサルティングプランのご提案と本見積を作成致します。
ご契約
ご契約時には、契約書類や秘密保持契約(NDA)の取り交わしを行います。
コンサルティング開始(キックオフ!)
お客様のISMSを構築し、ISO27001認証取得に向けてコンサルティングを開始します。
平均6ヶ月~7ヶ月で取得が完了します。
よくあるご質問
組織の状況にもよりますが、プロジェクトリーダーには、金銭や業務効率、営業などとのバランスを取って判断ができる方で、良い意味でも妥協ができる方が適任です。
ISO27001の認証取得には、どれぐらいの期間が必要ですか?
「取組目的」「対象組織の規模」「取組体制」「現在の統制状況」等の要素によって変動しますが、一般的には、10ヶ月~12ヶ月を目安にお考えください。
ISO27001の取得までにどれぐらいの費用がかかりますか?
ISO27001を取得するための費用には、(1)審査費用、(2)支援費用(コンサルティング費用)、(3)設備投資費用の3種類がかかります。それぞれ、内容によって異なりますので、ご相談ください。
ISO27001を取得するメリットは何ですか?
セキュリティパフォーマンスの向上により、損害の予防・発生時の損害抑制に繋がりますので、セキュリティの事故を無くしたり、減らすことが可能となります。
また、情報の管理をすることで業務の効率を上げ、「誰がどの情報をどこに持っているのか」という状況を把握して、適切な共有をすることが業務の冗長性向上へと繋がります。
プライバシーマークとの違いは何ですか?
プライバシーマークが個人情報の保護をテーマとしているのに対して、ISO27001は、リスクに応じた情報資産の管理をテーマとしております。また、ISO27001で言う情報資産は、個人情報を含んだ情報全般を対象としています。
ISMSとISO27001は何が違うのですか?
ISO27001は規格要求、ISMSは「仕組み」です。どのようにISMSを構築して運用するのかを、規格として定めたものがISO27001なので、そもそも比較すべきものではありません。
ちなみに、ISO27001が発行される前、日本では「ISMS適合性評価制度」という名称の制度が運用されていました。その名残がISMS=ISO27001という認識であろうかと思われます。
ISO27017とは何ですか?
ISO27017は、クラウドサービスを提供、利用する組織向けの情報セキュリティガイドラインです。あくまでもガイドラインであり、認証規格ではないのでご注意ください。なお、日本ではクラウドセキュリティ認証としてJIPDECがISO27017に準拠した認証制度を運用していますので、よろしければJIPDECのサイトをご覧になってください。
【参考】JIPDECホームページ:https://www.isms.jipdec.or.jp/isms-cls/isms-cls-publish.html
また、弊社でもクラウドセキュリティ認証の支援をご提供しておりますので、併せてご覧になってください。
⇒ISMSクラウドセキュリティ認証について
今までの実績で、ISO27001認証取得支援をした企業で、どの程度の事業規模のお客様が多いですか?
従業員3名の会社のお客様を支援させて頂いたこともございます。大企業としては、東証一部上場企業のお客様も何社か支援をさせて頂きました。数としては社員数15~50名の中小企業のお客様が多いです。
認証取得のために、どの程度のセキュリティレベルが要求されますか?
ISO27001の審査には、セキュリティレベルについて絶対的な基準がありません。簡単に申し上げると、リスク評価の結果に応じたリスク対応がなされていることが求められます。
ご挨拶
株式会社 ユーピーエフ
代表取締役 仲手川 啓
ご相談フォーム
ご質問内容に合わせて、弊社スタッフから当日中に返信させて頂きます。
【個人情報の取り扱い】
個人情報保護管理者兼お問い合わせ窓口 : 岡本友輝(本社) TEL:03-6240-9470
利用目的 : 本個人情報のご入力はあくまでお問合せお見積りにお応えするためのみにご利用させて頂きます。
不必要な案内行為や利用目的以外には一切使用いたしません。
任意性:個人情報をご提示(ご記載)頂きますが、必須事項のご記入がない場合は利用目的(お問合せへの回答)を達成することが出来ないことがあります。
株式会社ユーピーエフ個人情報保護方針に則り、一般社団法人日本情報経済社会推進協会(JIPDEC)プライバシーマーク制度の認定を受けております。 みなさまからお預かりする大切な個人情報を安全に管理し、且つ当お問い合わせのご対応のみに使用いたします。
会社概要
| 企業名 | 株式会社ユーピーエフ |
|---|---|
| 所在地 | 東京本部(東日本コンサルティングセンター) 〒101-0025 東京都千代田区神田佐久間町3-9 第三田中ビル2F地 図 TEL:03-6240-9470 FAX:03-6240-9471  |
| 名古屋営業所(中部コンサルティグセンター) 〒460-0008 愛知県名古屋市中区栄3丁目2番3号 名古屋日興證券ビル4階地 図 TEL:052-269-8666  | |
| 大阪営業所(関西コンサルティングセンター) 〒532-0011 大阪府大阪市淀川区西中島3-18-21 NLC新大阪18号館4階地 図 TEL:06-6195-2742 FAX:06-6195-2743  | |
| 福岡営業所(九州コンサルティングセンター) 〒810-0001 福岡県福岡市中央区天神1-9-17 福岡天神フコク生命ビル15階地 図 TEL:092-717-3673  | |
| URL | https://upfsecurity.co.jp/ |
| 反社会的勢力に対する基本方針 | https://upfsecurity.co.jp/antisocial/ |
| 個人情報保護方針 | https://upfsecurity.co.jp/privacy/ |
プロジェクトメンバーには、どのような人材が適任ですか?