isms認証とiso27001認証との違いを徹底解説!
情報セキュリティの管理を考える上で、無視できないのがISMS認証です。この名称を聞いたことがある人も多いのではないでしょうか。その他にはISO27001認証、Pマーク等、ISMS認証に似たような情報セキュリティに関する認証制度が多くあります。それらの制度を比較しながら、ISMS認証との違いを徹底的に解説していきます!
目次
ISMSとは
ISMSとは「Infomation Security Management System」の略で、日本においては「情報セキュリティマネジメントシステム」と言われています。認証を発行するのは、スイスに本部を構える「国際標準化機構」になります。
ISMSの目的
認証を発行する目的は、「情報資産の①機密性②完全性③可用性」の3つの性質を担保することにあります。
①機密性:アクセスを許可された者だけが情報にアクセスできる状態
②完全性:情報が改ざん、又は消去されていない状態
③可用性:アクセスを認められた者が必要な際、適切にアクセスできる状態
上記3つの要素を担保し、企業の情報セキュリティの管理体制を強化する目的があります。
ISO27001とISMS認証の違い
ISMS認証と混同しやすいキーワードに「ISO27001」があります。
・ISMSは情報セキュリティの質を担保する「仕組み」
・ISO27001はその仕組みを構築するための「要求事項」
端的に言えば、ISO27001は「どのように仕組みを構築し、運用すれば、ISMS認証を取得できるのかを定めた審査の基準」です。ISO27001は要求事項であり、機密性・完全性・可用性を維持するための手順が記述されています。
ISO27001の要求事項
要求事項の代表的なものが、以下になります。
・責任者と役割ごとの担当者を配置する
・情報セキュリティに関する目標を設定する
・情報の管理におけるリスクを算出する
・リスクへの対応計画を策定する
・内部監査を実施する
上記を含め、合計100個以上の要求事項が定められています。
ISMS認証とPマークの違い
情報セキュリティの質を担保する認証には、ISMS認証の他に「Pマーク(プライバシーマーク)」があります。情報資産を取り扱うという面では共通のものですが、認証の属性は異なります。
| ISMS認証 | Pマーク | |
|---|---|---|
| 保護対象 | すべての情報資産 | 個人情報のみ |
| 認証取得の可能な範囲 | 事業や部門ごと | 企業 |
| 規格 | 国際基準規格:ISO27001 日本工業規格:JISQ27001 | 日本工業規格:JISQ15001 *日本国内のみ |
| 期限 | 3年 | 2年 |
中でも、二つの大きな違いに焦点を当てて解説します。
1.保護対象の違い
Pマークは保護対象が個人情報であるのに対して、ISMSは情報資産の全てが保護する対象になります。例えば、社員の個人情報、顧客の個人情報はどちらの認証においても保護対象になります。しかし、技術・財務・システム等の情報資産はPマークの保護対象とはなりません。そこも全て含めて保護対象としているのが、ISMS認証になります。
2.認証取得可能な範囲の違い
PマークとISMS認証では認証を適用させることが可能な範囲が異なります。
ISMSでは、「特定の情報を保有する部門のみに限定して認証を得ること」が可能です。必要な部署のみに適用をとどめることで、他部署がその規格に則り業務をする必要はなく、会社全体の負担を削減することができます。
ISMS認証を取得すべき理由
認証は取得後もランニングコスト(維持費用)が発生するため、企業にとってメリットばかりとは言い切れません。そのようなISMS認証を、なぜ得る必要があるのでしょうか。
企業として認証を取得すべき理由は2つ考えられます。
①セキュリティの質を向上させることでリスク管理を実現する
②社外に「セキュリティの高さ」をアピールできる
認証を取得するには、セキュリティへの考えを組織全体に周知し、管理体制を整える必要があります。認証を得る過程の中で、企業内の情報セキュリティへの意識が高まるため、セキュリティリスクの低減に繋がります。また、取引先へのアピールでもISMS認証の取得は大きなメリットをもたらします。国際認証であるISMS認証は、セキュリティの質が高い企業であることを示す認証として非常にわかりやすいです。そのため、顧客の信用を高めることや、他社比較で役立つ等、様々なメリットをもたらします。
ISMS認証の取得方法
申請から認証までには最短でも3ヶ月から4ヶ月程度、準備も含めると約1年の期間を要します。準備期間がかかるため、早くに手を付けるべき認証取得ですが、どのような準備が必要なのでしょうか。
1. 適用範囲を決める
企業全体ではなく、事業部ごとでも取得可能なため、「どの事業部・管理部門において認証が必要なのか」対象を決めていきます。
2. 情報セキュリティに関する方針を決める
認証取得には情報を保護するための「仕組み」が要求されます。その仕組み作りに手順があるわけではないため、要求されている事項を満たせば、組織に合わせた方針を作成することができます。Webで”情報セキュリティに関する基本方針”で検索すると、企業が掲げている多くの方針を見ることができます。参考として確認するのも良いでしょう。
3. 認証機関を選定する
自社の方針を決定後、認証取得にかかる機関を選択します。日本に認証機関は27ヶ所あり、それぞれの機関で認証費用を定めています。各認証機関で見積もりを受けているため、事業内容や従業員数、認証を受けたい事業所数等を記載してお問い合わせしましょう。
4. リスクアセスメントを行う
リスクアセスメントとは、組織内にあるセキュリティに関するリスクを洗い出し、そのリスクを評価し、評価内容に基づいた対策を取るまでの一連の手順を指します。手順について解説します。
4-1 .情報資産管理台帳を作成する
組織内にどのような情報資産があるのか洗い出します。洗い出したら、台帳としてまとめます。
4-2. リスク分析を行う
組織の情報資産に対するリスクを分析します。リスクとは、情報の機密性・完全性・可用性が損なわれるリスクを指します。例えば情報の漏洩や、データが改ざんされてしまうリスクです。どのようなリスクがあるのかを明確にした後に、リスクを洗い出します。情報資産の価値・脅威・脆弱性と言う3つの点からリスクは算出できます。リスク分析の方法は、「ISMSユーザーズガイド」に詳細が記載されているので、そちらを参考にすると良いでしょう。
4-3. リスク対応計画を策定する
分析結果に基づき、実施する対策の決定、誰がいつまでに実施するのかを決定します。また、対策後に残るリスクは、定められた受容リスクの水準以下であるか確認します。
5. 内部監査を行う
作成した方針に沿って運用できているか、セキュリティの考え方が組織に浸透しているか、内部監査を実施し、確認します。内部監査は社内の人間もしくは外部のコンサルタントによって実施されますが、実施後に問題点が発見された場合、改善をすることになります。
6. マネジメントレビューを行う
内部監査の結果をもとに、経営者へ報告をします。これまで実施したISMS認証取得までの過程を見直し、さらに改善できる箇所はないか検討・判断します。
7. 選んだ認証機関に認定を審査を受ける
仕組みが確立したら、認証機関に申請を行います。第1段階として文書審査が行われ、問題がなければ第2段階に進みます。第2段階では組織のセキュリティ状況がチェックされ、規格通りの運用がしっかりされているかを確認します。結果、規格通り運用されていると判断されれば、認証登録を受けることができます。不適合と判断された場合は、改善計画書を提出して改善処置を行う必要がでてきます。
8. ISMSのサイト上にて審査結果を公開する
認証完了となれば、認証機関から情報マネジメントシステム認定センター(ISMS-AC)に報告されます。
※認証の有効期限は取得から3年間なので、更新するためには再度手続きが必要です。
ISMS認証にかかる費用は?
ISMS認証にかかる費用は、認証を得る範囲や組織の規模、認証取得機関によって大きく異なります。
主に費用がかかるところは以下になります。
・申請料金
・予備審査(必要であれば)
・初回認証審査
(第1段階・第2段階それぞれに費用が必要)
・認証書の発行
その後もランニングコスト(維持審査・更新審査)が発生します。総額は数十万から数百万まで大きく幅があります。ISMS認証の取得申請を考える際には、数社に見積もりを依頼し、どのくらいの費用になるのかを算出しておきましょう。
ISMS認証を取得している企業の数
2022年4月時点でISMS認証の取得企業は6,809社、公表している企業は6,443社となります。自社の業種におけるISMS認証取得の状況は、都道府県、企業名から検索条件を絞り、確認することできます。競合における認証の取得数が多い場合、業界において情報セキュリティの必要性が高まっていると言えます。
ISMS認証の取得企業数を確認する際は、ISMSを管轄する「情報マネジメントシステム認証センター」をチェックすると良いでしょう。
ISMS認証取得はお任せください!
この記事では、ISMS認証とISO27001認証・Pマークの違い、ISMS認証取得の方法等について解説しました。
企業活動の中で、情報セキュリティを担保する認証の整備は大きなメリットをもたらします。まずは、自社において情報セキュリティの認証制度が必要なのか、取得することでメリットがあるのかを考えましょう。その上で、今後の展望からどちらの規格の取得・運用方法が有意義であるかを判断しましょう。
ISMS認証・ISO27001認証・Pマークの認証からどれを取得すべきか、自社での判断が難しい担当者さんは、外部の企業への依頼を検討してみてはいかがでしょうか。
業界No.1を誇る株式会社UPFでは、プライバシーマーク、ISMS認証合計で2561社以上の新規取得をサポートしてきた実績があります。
情報セキュリティの質を担保する認証制度の新規取得をお悩みの企業様・ご担当社様は、どうぞお気軽にお問い合わせください。
この記事を書いた人
株式会社UPF
同じテーマの記事はこちら
JIS Q 15001とは何か?Pマークとの関連性から活用メリットまで解説します
JIS Q 15001とはどのように活用されるものなのでしょうか。また、JIS Q 15001について調べると必ず目にするPマークはどのようなもので、JIS Q 15001とはどの […]
ISMAP管理基準とは?徹底的に解説!
日本初の情報セキュリティ評価制度ISMAPについてご存じでしょうか? 近年テレワークの拡大やDX化の促進によりクラウドサービスへの関心が高まっています。 本記事ではISMAPの概要 […]
ISMAPクラウドサービスリストとは?徹底的に解説!
日本初の情報セキュリティ評価制度ISMAPについてご存じでしょうか? まだまだ馴染みのない言葉だと思います。今後デジタル化がさらに加速する中で多くのクラウドサービスが開発されていく […]
isms認証とiso27001認証との違いを徹底解説!
情報セキュリティの管理を考える上で、無視できないのがISMS認証です。この名称を聞いたことがある人も多いのではないでしょうか。その他にはISO27001認証、Pマーク等、ISMS認 […]
ISMAPのメリット、登録方法まで徹底解説!
ISMAPは2020年6月から運用が始まっています。2021年3月に初めてISMAPのクラウドサービスリストが公開され、四半期ごとに更新されています。 この記事では、ISMAPの解 […]
