ISO27001(ISMS)とは
ISMS = Information Security Management System
(情報セキュリティマネジメントシステム)
①どのように「構築」し、②どのように「運用」すれば、認証を取得することができるのかを定めた「要求事項=審査の基準」の国際規格です。
日本では、ISO27001が正式発行される前に、「ISMS適合性評価制度」として認証 制度が運用されていたため、ISO27001=ISMSという認識が根付いています。本来は、ISO27001が「規格名称」、ISMSは「仕組み」の名称です。
情報セキュリティとは
ISO27001でいう情報セキュリティとは、上記のような特性を保護することであり、
規格要求上では最低限
①機密性 ②完全性 ③可用性 の保護が必要です。
情報セキュリティのCIA
C 機密性(confidentiality)
許可されていない個人、エンティティ(個人以外の団体・組織等)又はプロセス(活動そのもの)に対して、情報を使用させず、また、開示しない特性
⇒誤った相手にメールを送ってしまったりすると・・・
I 完全性(integrity)
正確さ及び完全さの特性
⇒ホームページやデータベースが改ざんされたり、誤入力したりしてしまうと・・・
A 可用性(availability)
認可されたエンティティが要求したときに、アクセス及び使用が可能である特性
⇒どこに必要な情報があるか分からない、保存先は分かっているけどアクセスできないと・・・
情報セキュリティの最適化とは
本人A:「大事な顧客情報だから、ファイルにパスワードをかけてサーバに保存しておこう」
同僚B:「今日この情報が必要なのに、本人Aが休んでどこにファイルがあるか分からない・・・」
同僚B:「本人Aしかパスワードが分からないのに、急に休んでしまってファイルが開かない・・・」
同僚B:「本人Aが退職してしまって保存場所も分からないし、見つかってもファイルが開かない・・・」
セキュリティの語源は、ラテン語の「気配り」と言われています。情報セキュリティとは、まさに「情報への気配り」です。上記のように本人Aにより機密性は保護されても可用性が損なわれてしまうケースは、最適な気配りがされているとは言えないかもしれません。
行き詰ったら視野を拡げて何のための情報セキュリティなのかをもう一度考えてみましょう。
上図のような「継続的な改善」を実現するPDCAサイクルを回し続けることで、最適化を図っていくことになりますが、プロジェクトの導入時は「C」から開始する組織もあります。
(現状のルールが妥当なのか?それをどの程度運用できているのか?のチェックから始めるということです)
取り組みの結果、期待できること(例)
【業務効率の改善】
組織内にどのような情報がどこに存在するのか把握すること。
また、書類やデータを探す時間を短縮することができるため、これによっても業務効率が改善されます。
【適切なリスク対応の実現】
例えば、上記の裏返しで、情報を共有することによるリスクを把握することができ、適切なアクセスコントロール(共有する必要が無い人員にはアクセス権を与えない)を実現することで情報漏えいリスク等を低減することができます。
【事業継続性の向上】
訴訟やトラブル対応の際に、記録等により組織が適切な対応をしていたことを証明し易くなり、事業継続性が向上します。
ISMS(ISO27001)認証取得までの主な行程
ISMS適用範囲の決定
※特定された課題や、利害関係者のニーズと整合しない適用範囲の設定は、不適合となります。
【参考】 文書(規定や記録)化対応
規格では、一部文書化を要求していますが、全てのルールを文書化する必要はありません。極論すれば、大半のルールが明文化されていなくとも、全ての要員が正しく行動できるのであれば、ルールの明文化は不要です。通常はこれが難しいため、明文化することになります。
- 既存規定類、記録様式類の把握
- 規格要求とのGAP把握
- テーマ毎に文書化の要否判断
- 文章体系設計
- 規定、記録様式類の作成
ISMS(ISO27001)認証取得後の活動
【新規取得後の審査サイクル】
【審査と審査の間の活動】
運用計画の策定、運用計画に則った活動、変化に応じた対応
※運用負荷を下げるためのヒントは規格にあります。規格要求の解釈が進めば進むほど、「やらなくてもよいこと」「どの程度実施すれば適合するのか」が見えてきて運用負荷の低減につながります。
ISMS(ISO27001)認証取得までの主な費用
| 1 | 審査費用 | 必須 |
| 2 | 改善のための設備投資等 | 状況と目的による |
| 3 | 外部からの支援費用 (コンサルティングフィー等) |
費用1:審査費用
審査費用を決める主な要素
(1)適用範囲
①対象業務の内容
②対象人数
③対象サイト数(拠点数)
(2)他のISO認証取得状況(同時審査等が可能かどうか)
(3)審査機関の選択(審査機関は任意で選択可能です)
審査費用の種類
| 種別 | 時期 | 審査規模・費用 |
|---|---|---|
| 初回審査費用 | 新規取得時 | 大きい |
| 継続審査(サーベイランス・定期審査)費用 | 再認証と再認証の間 | 小 |
| 再認証審査(更新審査)費用 | 3年毎 | 中 |
費用2:セキュリティレベルを上げるための投資
審査を通過するだけであれば、過剰な投資は必要ありません。運用負荷の低減やリスクマネジメントの実現と、審査通過可否は別問題とお考えください。
費用3:外部からの支援費用
【金額を決める主な要素】
| 1 | 取組目的 | 認証を取得できればよいのか、明確な目標・テーマがあるのか |
| 2 | 期間 | 極端に短期間(6ヶ月程度)、極端に長期間(1年半以上) |
| 3 | 対象組織規模 事業内容 |
調査にどの程度の時間を要するか 監査にどの程度の時間を要するか |
| 4 | 他認証の有無 既存文書内容・量 設備環境 |
システムの理解、文書の読込にどの程度の時間を要するか 既にどの程度要求事項に適合しているか |
| 5 | 支援範囲 | どの工程を支援するか |
| 6 | 支援内容 | アドバイス中心なのか、作業支援が必要なのか等 |
ISMS(ISO27001)運用のコツ
1、規格要求事項の意図を理解する
意図を理解することで「最低限やらなくてはいけないこと=やらなくてもいいこと」が見えてきて、運用の効率化につながります。したがいまして、規格要求を理解せずにISMSの最適化は有り得ません。
2、バランス感覚を失わない
認証取得・維持活動を続けていると、規格要求事項しか見えなくなり、本来であれば有り得ない思考に陥ることがあります。結果として、認証を取得するためだけの活動となってしまい、業務効率等を必要以上に損なってしまうことがあります。そんなときは何のためにこの活動を行うのか認識することが重要です。ときには、まわり(例えば事務局以外の従業者)の意見に耳を傾けてみましょう。
ユーピーエフは、認証取得後に「ただ認証を維持するためだけの支援」が不要となるよう、皆様の自立運用成立のご支援をします。
お客様のご要望や規模に応じてプランをカスタマイズ
お客様のご要望や事業規模などで、認証取得を目指す速度や情報セキュリティマネジメントシステムの内容が異なってまいります。 5つの基本プランをカスタマイズして、お客様に最適なコンサルティングプランをご提案致します。
なるべく苦労なく取得
ISO27001認証取得には苦労が伴うものです。ご担当者様には必要最低限のことを行って頂き、それ以外のことはコンサルタントが代行します。お忙しい方におすすめのプランです。
なるべく早く取得
認証取得が案件受注の条件であるなど、認証取得を急ぎたい方のプランです。コンサルタントと協力をして、迅速な認証取得を目指します。
認証を維持・更新
認証を取得した後も、認証を維持・更新する必要があります。更新時期が迫って慌てる前に、コンサルタントが更新のアドバイスをします。
業務改善の相談
自社の規模やリスクに応じた情報資産の管理体制強化などISMS構築が主で、併せてISO27001を取得したいというお客様のための、業務改善コンサルティングサービスです。
スマート化・実効性強化
構築した情報セキュリティマネジメントシステムの見直しをするプランです。文書の簡素化、規程の見直し、情報保護の手順・基準の見直しを行い、お客様にとって最適なシステムを再構築します。
コンサルティング内容の基本パターンとカスタマイズ
| 主な項目 | 基本パターン | 変更・追加パターン |
| リスクアセスメント | リスクアセスメントの手順の説明 サンプル手順の提供 リスクアセスメント結果のレビュー作成 |
アセスメントの代行 |
| 文書作成 | サンプル文書の提供、読み合わせ 文書修正結果のレビュー作成 |
カスタマイズしたサンプル文書の提供 文書修正作業の代行 |
| 教育 | 教育資料の作成 社員や役員の研修の実施 |
研修記録の作成 |
| 運用管理 | オフサイトにて相談受付 | 定期訪問によるシステム運用状況の確認 |
| 内部監査 | 内部監査員養成研修の実施 内部監査の立ち会い 改善策の提案 |
内部監査の代行 内部監査記録の作成 |
| マネジメントレビュー | マネジメント見直しの立ち会い | マネジメント見直し記録の作成代行 |
| 審査 | 模擬審査の実施、審査傾向の案内 審査での指摘事項の対応策提案 |
審査の立合い |
コンサルティング開始までの流れ
お問い合わせ
ISO27001認証取得コンサルティングをご検討の方は、
まず、お電話もしくはお問い合わせフォームより弊社までご連絡をください。
訪問してのご説明
お客様のところに訪問し、コンサルティングの手法や流れについての概要を説明させて頂きます。
お客様の状況や、コンサルティングのプラン、見積書の作成のために必要なことを
ヒアリングさせて頂きます。
見積ご案内
ヒアリングの内容より、お客様に最適なコンサルティングプランのご提案と本見積を
作成致します。後日、再度のご訪問にて、お客様独自のプランをご説明致します。
ご契約
ご契約時には、契約書類や秘密保持契約の取り交わしを行います。
コンサルティング開始
お客様のISMSを構築し、ISO27001認証取得に向けてコンサルティングを開始します。
よくあるご質問
Q. プロジェクトメンバーには、どのような人材が適任ですか?
組織の状況にもよりますが、プロジェクトリーダーには、金銭や業務効率、営業などとのバランスを取って判断ができる方で、良い意味でも妥協ができる方が適任です。
Q. ISO27001の認証取得には、どれぐらいの期間が必要ですか?
「取組目的」「対象組織の規模」「取組体制」「現在の統制状況」等の要素によって変動しますが、一般的には、10ヶ月~12ヶ月を目安にお考えください。
Q. ISO27001の取得までにどれぐらいの費用がかかりますか?
ISO27001を取得するための費用には、(1)審査費用、(2)支援費用(コンサルティング費用)、(3)設備投資費用の3種類がかかります。それぞれ、内容によって異なりますので、ご相談ください。
Q. ISO27001を取得するメリットは何ですか?
セキュリティパフォーマンスの向上により、損害の予防・発生時の損害抑制に繋がりますので、セキュリティの事故を無くしたり、減らすことが可能となります。
また、情報の管理をすることで業務の効率を上げ、「誰がどの情報をどこに持っているのか」という状況を把握して、適切な共有をすることが業務の冗長性向上へと繋がります。
Q. プライバシーマークとの違いは何ですか?
プライバシーマークが個人情報の保護をテーマとしているのに対して、ISO27001は、リスクに応じた情報資産の管理をテーマとしております。また、ISO27001で言う情報資産は、個人情報を含んだ情報全般を対象としています。
Q. ISMSとISO27001は何が違うのですか?
ISO27001は規格要求、ISMSは「仕組み」です。どのようにISMSを構築して運用するのかを、規格として定めたものがISO27001なので、そもそも比較すべきものではありません。
ちなみに、ISO27001が発行される前、日本では「ISMS適合性評価制度」という名称の制度が運用されていました。その名残がISMS=ISO27001という認識であろうかと思われます。
Q. ISO27017とは何ですか?
ISO27017は、クラウドサービスを提供、利用する組織向けの情報セキュリティガイドラインです。あくまでもガイドラインであり、認証規格ではないのでご注意ください。なお、日本ではクラウドセキュリティ認証としてJIPDECがISO27017に準拠した認証制度を運用していますので、よろしければJIPDECのサイトをご覧になってください。
【参考】JIPDECホームページ:https://www.isms.jipdec.or.jp/isms-cls/isms-cls-publish.html
また、弊社でもクラウドセキュリティ認証の支援をご提供しておりますので、併せてご覧になってください。
⇒ISMSクラウドセキュリティ認証について
Q.今までの実績で、ISO27001認証取得支援をした企業で、どの程度の事業規模のお客様が多いですか?
従業員3名の会社のお客様を支援させて頂いたこともございます。大企業としては、東証一部上場企業のお客様も何社か支援をさせて頂きました。数としては社員数15~50名の中小企業のお客様が多いです。
Q. 認証取得のために、どの程度のセキュリティレベルが要求されますか?
ISO27001の審査には、セキュリティレベルについて絶対的な基準がありません。簡単に申し上げると、リスク評価の結果に応じたリスク対応がなされていることが求められます。
ご挨拶
ISO27001はプライバシーマークと異なり、情報全般のセキュリティが求められます。セキュリティの語源は「気配り」だと言われています。情報への気配りとは、情報の機密性を担保するだけでなく、正確でタイムリーに情報を提供することも含まれます。ユーピーエフでは、情報への気配りを大切にしながら、お客様の情報セキュリティマネジメントシステム(ISMS)の構築をご支援いたします。
ISO27001取得になるべく手間を省きたいとお考えのお客様や、とにかく迅速に取得したいとお考えの企業様、ISO27001の維持や更新をお考えのお客様、認証取得を通じて社内の仕事の管理体制を整えたいとお考えのお客様まで、さまざまなご要望にお応えできるコンサルティングなら、ユーピーエフにお任せください。
ご相談フォーム
ご質問内容に合わせて、弊社スタッフから当日中に返信させて頂きます。
【個人情報の取り扱い】
個人情報保護管理者兼お問い合わせ窓口 : 岡本友輝(本社) TEL:03-6240-9470
利用目的 : 本個人情報のご入力はあくまでお問合せお見積りにお応えするためのみにご利用させて頂きます。
不必要な案内行為や利用目的以外には一切使用いたしません。
任意性:個人情報をご提示(ご記載)頂きますが、必須事項のご記入がない場合は利用目的(お問合せへの回答)を達成することが出来ないことがあります。
株式会社ユーピーエフ個人情報保護方針に則り、一般社団法人日本情報経済社会推進協会(JIPDEC)プライバシーマーク制度の認定を受けております。 みなさまからお預かりする大切な個人情報を安全に管理し、且つ当お問い合わせのご対応のみに使用いたします。
会社概要
| 企業名 | 株式会社ユーピーエフ |
|---|---|
| 所在地 | 東京本社 〒101-0025 東京都千代田区神田佐久間町3-9 第三田中ビル2F地 図 TEL:03-6240-9470 FAX:03-6240-9471  |
| 大阪営業所 〒550-0002 大阪府大阪市西区江戸堀2-1-1 江戸堀センタービル9階地 図 TEL:06-6225-1698  |
|
| 名古屋営業所 〒460-0008 愛知県名古屋市中区栄3丁目2番3号 名古屋日興證券ビル4階地 図 TEL:052-269-8666  |
|
| 福岡営業所 〒810-0001 福岡県福岡市中央区天神1-9-17 福岡天神フコク生命ビル15階地 図 TEL:092-717-3673  |
|
| URL | https://upfsecurity.co.jp/ |