fbpx

情報セキュリティにまつわる
お役立ち情報を発信

isms認証とiso27001認証との違いを徹底解説!

情報セキュリティの管理を考える上で、無視できないのがISMS認証です。この名称を聞いたことがある人も多いのではないでしょうか。その他にはISO27001認証、Pマーク等、ISMS認証に似たような情報セキュリティに関する認証制度が多くあります。それらの制度を比較しながら、ISMS認証との違いを徹底的に解説していきます!

ISMSとは

ISMSとは「Infomation Security Management System」の略で、日本においては「情報セキュリティマネジメントシステム」と言われています。認証を発行するのは、スイスに本部を構える「国際標準化機構」になります。

ISMSの目的
認証を発行する目的は、「情報資産の①機密性②完全性③可用性」の3つの性質を担保することにあります。
①機密性:アクセスを許可された者だけが情報にアクセスできる状態
②完全性:情報が改ざん、又は消去されていない状態
③可用性:アクセスを認められた者が必要な際、適切にアクセスできる状態
上記3つの要素を担保し、企業の情報セキュリティの管理体制を強化する目的があります。

ISO27001とISMS認証の違い

ISMS認証と混同しやすいキーワードに「ISO27001」があります。
・ISMSは情報セキュリティの質を担保する「仕組み」
・ISO27001はその仕組みを構築するための「要求事項」
端的に言えば、ISO27001は「どのように仕組みを構築し、運用すれば、ISMS認証を取得できるのかを定めた審査の基準」です。ISO27001は要求事項であり、機密性・完全性・可用性を維持するための手順が記述されています。

ISO27001の要求事項

要求事項の代表的なものが、以下になります。
・責任者と役割ごとの担当者を配置する
・情報セキュリティに関する目標を設定する
・情報の管理におけるリスクを算出する
・リスクへの対応計画を策定する
・内部監査を実施する
上記を含め、合計100個以上の要求事項が定められています。

ISMS認証とPマークの違い

情報セキュリティの質を担保する認証には、ISMS認証の他に「Pマーク(プライバシーマーク)」があります。情報資産を取り扱うという面では共通のものですが、認証の属性は異なります。 

ISMS認証Pマーク
保護対象すべての情報資産個人情報のみ
認証取得の可能な範囲事業や部門ごと企業
規格国際基準規格:ISO27001
日本工業規格:JISQ27001
日本工業規格:JISQ15001
*日本国内のみ
期限3年2年

中でも、二つの大きな違いに焦点を当てて解説します。

1.保護対象の違い

Pマークは保護対象が個人情報であるのに対して、ISMSは情報資産の全てが保護する対象になります。例えば、社員の個人情報、顧客の個人情報はどちらの認証においても保護対象になります。しかし、技術・財務・システム等の情報資産はPマークの保護対象とはなりません。そこも全て含めて保護対象としているのが、ISMS認証になります。

2.認証取得可能な範囲の違い

PマークとISMS認証では認証を適用させることが可能な範囲が異なります。
ISMSでは、「特定の情報を保有する部門のみに限定して認証を得ること」が可能です。必要な部署のみに適用をとどめることで、他部署がその規格に則り業務をする必要はなく、会社全体の負担を削減することができます。

ISMS認証を取得すべき理由

認証は取得後もランニングコスト(維持費用)が発生するため、企業にとってメリットばかりとは言い切れません。そのようなISMS認証を、なぜ得る必要があるのでしょうか。
企業として認証を取得すべき理由は2つ考えられます。

①セキュリティの質を向上させることでリスク管理を実現する
②社外に「セキュリティの高さ」をアピールできる

認証を取得するには、セキュリティへの考えを組織全体に周知し、管理体制を整える必要があります。認証を得る過程の中で、企業内の情報セキュリティへの意識が高まるため、セキュリティリスクの低減に繋がります。また、取引先へのアピールでもISMS認証の取得は大きなメリットをもたらします。国際認証であるISMS認証は、セキュリティの質が高い企業であることを示す認証として非常にわかりやすいです。そのため、顧客の信用を高めることや、他社比較で役立つ等、様々なメリットをもたらします。

ISMS認証の取得方法

申請から認証までには最短でも3ヶ月から4ヶ月程度、準備も含めると約1年の期間を要します。準備期間がかかるため、早くに手を付けるべき認証取得ですが、どのような準備が必要なのでしょうか。

1. 適用範囲を決める

企業全体ではなく、事業部ごとでも取得可能なため、「どの事業部・管理部門において認証が必要なのか」対象を決めていきます。

2. 情報セキュリティに関する方針を決める

認証取得には情報を保護するための「仕組み」が要求されます。その仕組み作りに手順があるわけではないため、要求されている事項を満たせば、組織に合わせた方針を作成することができます。Webで”情報セキュリティに関する基本方針”で検索すると、企業が掲げている多くの方針を見ることができます。参考として確認するのも良いでしょう。

3. 認証機関を選定する

自社の方針を決定後、認証取得にかかる機関を選択します。日本に認証機関は27ヶ所あり、それぞれの機関で認証費用を定めています。各認証機関で見積もりを受けているため、事業内容や従業員数、認証を受けたい事業所数等を記載してお問い合わせしましょう。

4. リスクアセスメントを行う

リスクアセスメントとは、組織内にあるセキュリティに関するリスクを洗い出し、そのリスクを評価し、評価内容に基づいた対策を取るまでの一連の手順を指します。手順について解説します。

4-1 .情報資産管理台帳を作成する※

組織内にどのような情報資産があるのか洗い出します。洗い出したら、台帳としてまとめます。

4-2. リスク分析を行う

組織の情報資産に対するリスクを分析します。リスクとは、情報の機密性・完全性・可用性が損なわれるリスクを指します。例えば情報の漏洩や、データが改ざんされてしまうリスクです。どのようなリスクがあるのかを明確にした後に、リスクを洗い出します。情報資産の価値・脅威・脆弱性と言う3つの点からリスクは算出できます。リスク分析の方法は、「ISMSユーザーズガイド」に詳細が記載されているので、そちらを参考にすると良いでしょう。

4-3. リスク対応計画を策定する

分析結果に基づき、実施する対策の決定、誰がいつまでに実施するのかを決定します。また、対策後に残るリスクは、定められた受容リスクの水準以下であるか確認します。

5. 内部監査を行う

作成した方針に沿って運用できているか、セキュリティの考え方が組織に浸透しているか、内部監査を実施し、確認します。内部監査は社内の人間もしくは外部のコンサルタントによって実施されますが、実施後に問題点が発見された場合、改善をすることになります。

6. マネジメントレビューを行う

内部監査の結果をもとに、経営者へ報告をします。これまで実施したISMS認証取得までの過程を見直し、さらに改善できる箇所はないか検討・判断します。

7. 選んだ認証機関に認定を審査を受ける

仕組みが確立したら、認証機関に申請を行います。第1段階として文書審査が行われ、問題がなければ第2段階に進みます。第2段階では組織のセキュリティ状況がチェックされ、規格通りの運用がしっかりされているかを確認します。結果、規格通り運用されていると判断されれば、認証登録を受けることができます。不適合と判断された場合は、改善計画書を提出して改善処置を行う必要がでてきます。

8. ISMSのサイト上にて審査結果を公開する

認証完了となれば、認証機関から情報マネジメントシステム認定センター(ISMS-AC)に報告されます。
※認証の有効期限は取得から3年間なので、更新するためには再度手続きが必要です。

ISMS認証にかかる費用は?

ISMS認証にかかる費用は、認証を得る範囲や組織の規模、認証取得機関によって大きく異なります。
主に費用がかかるところは以下になります。
・申請料金
・予備審査(必要であれば)
・初回認証審査
(第1段階・第2段階それぞれに費用が必要)
・認証書の発行
その後もランニングコスト(維持審査・更新審査)が発生します。総額は数十万から数百万まで大きく幅があります。ISMS認証の取得申請を考える際には、数社に見積もりを依頼し、どのくらいの費用になるのかを算出しておきましょう。

ISMS認証を取得している企業の数

2022年4月時点でISMS認証の取得企業は6,809社、公表している企業は6,443社となります。自社の業種におけるISMS認証取得の状況は、都道府県、企業名から検索条件を絞り、確認することできます。競合における認証の取得数が多い場合、業界において情報セキュリティの必要性が高まっていると言えます。
ISMS認証の取得企業数を確認する際は、ISMSを管轄する「情報マネジメントシステム認証センター」をチェックすると良いでしょう。

ISMS認証取得はお任せください!

この記事では、ISMS認証とISO27001認証・Pマークの違い、ISMS認証取得の方法等について解説しました。

企業活動の中で、情報セキュリティを担保する認証の整備は大きなメリットをもたらします。まずは、自社において情報セキュリティの認証制度が必要なのか、取得することでメリットがあるのかを考えましょう。その上で、今後の展望からどちらの規格の取得・運用方法が有意義であるかを判断しましょう。

ISMS認証・ISO27001認証・Pマークの認証からどれを取得すべきか、自社での判断が難しい担当者さんは、外部の企業への依頼を検討してみてはいかがでしょうか。

業界No.1を誇る株式会社UPFでは、プライバシーマーク、ISMS認証合計で2561社以上の新規取得をサポートしてきた実績があります。
情報セキュリティの質を担保する認証制度の新規取得をお悩みの企業様・ご担当社様は、どうぞお気軽にお問い合わせください。

お問い合わせはこちらから。
株式会社UPFについて詳しくはこちらから。

この記事を書いた人

株式会社UPF

株式会社UPF

東京都中央区に本社を構える株式会社UPFです。 日本全国を対象にPマーク(プライバシーマーク)とISMS(ISO27001)の新規取得コンサルティング、取得後の運用支援事業を展開しております。 プライバシーマークについてのお問い合わせ・ご相談は→03-6661-0846セキュリティーコンサルティング事業部まで

同じテーマの記事はこちら

すべて見る