ISMS認証の取得に必要な要求事項を徹底解説！

現代社会において、情報セキュリティはますます重要になってきています。企業においても、顧客情報や取引情報などの重要な情報を管理するために、情報セキュリティマネジメントシステム（ISMS）の導入が求められています。しかし、ISMSを導入するだけでは不十分で、認証を取得することが求められます。本記事では、ISMS認証取得に必要な要求事項について詳しく解説します。

ISMS認証とは

　ISMS（Information Security Management System）認証とは、情報セキュリティに関する国際規格であるISO/IEC 27001をベースとした認証制度です。ISO/IEC 27001は、情報セキュリティに関する要件を定めた国際規格であり、情報セキュリティマネジメントシステム（ISMS）の設計、運用、改善に関する要件を定めています。
　ISMS認証は、組織が情報セキュリティに関する規格に準拠していることを証明するものであり、情報セキュリティに関するリスクを適切に管理するための体制を整備し、継続的な改善を行っていることを示すものです。ISMS認証を取得することで、組織は情報セキュリティに関する信頼性を向上させ、顧客からの信頼や競争力の強化につながります。

ISMSの要求事項一覧

以下に、ISMSにおける主要な要求事項を表にまとめました。これらは、ISO/IEC 27001に基づいています。

ISMS認証を取得するメリット

ISMS認証を取得することには以下のようなメリットがあります。

・信頼性の向上: ISMS認証は、情報セキュリティに関する国際的な基準に準拠していることを証明するためのものです。認証を取得することで、企業の信頼性が高まり、お客様や取引先からの信頼も向上します。
・コンプライアンスの確保: ISMS認証は、情報セキュリティに関する法律や規制に適合していることを証明するものでもあります。認証を取得することで、法的なコンプライアンスを確保できます。
・新規ビジネスの獲得: ISMS認証を取得している企業は、情報セキュリティに対する取り組みが優れていることをアピールできます。このため、新規ビジネスの獲得や既存の顧客からのリピート率が向上する可能性があります。
・経営効率の向上: ISMS認証は、情報セキュリティに関するリスクマネジメントを導入することを要求します。リスクマネジメントを行うことで、セキュリティ対策の効果を高め、経営効率を向上させることができます。
・社内の情報セキュリティ意識の向上: ISMS認証を取得するためには、社員の教育・訓練などが必要です。これにより、社内に情報セキュリティに関する意識が浸透し、情報セキュリティに対する意識が向上することが期待できます。

ISMS認証を取得するのに必要なこと

ISMS認証を取得するには、5つの大きな準備が必要です。それは、ISO/IEC27001の規格要求事項の理解、ISMS推進体制の確立、ISMS構築手法の理解と決定、ISMSの構築及び運用、ISMSの内部監査を実施し、代表者による見直しです。しかし、これらのことが具体的に何を意味するのかわからない方も多いでしょう。簡単に説明すると、以下の17個の要件を満たすことで、おおむねISMS認証を取得できます。

・スケジュールを決める
・規格内容を理解する
・役割を決める
・情報セキュリティ目標を設定する
・取得範囲を決める
・審査機関を決める
・情報セキュリティ方針を作成する
・情報資産を洗い出す
・リスクアセスメントを行う
・法令を特定する
・委託先を管理する
・従業員への教育を行う
・情報セキュリティを継続する
・内部監査を行う
・マネジメントレビューを行う
・審査を受ける
・来年度のスケージュールを決める

　それぞれ詳しくみていきましょう。

スケジュールを決める

　ISMSの認証を取得するためには、ISMS体制の構築に向けたスケジュールを作成する必要があります。スケジュールは、認証取得に向けて行うべきことを文書化したものであり、取得までのプロセスを可視化するために重要です。本記事を参考にしながら、スケジュールを作成しましょう。また、完了した項目にはチェックや塗りつぶしなどをして進捗管理を行うと、より効果的です。

規格内容を理解する

　最初に、ISMSの規格である「ISO/IEC 27001」について確認します。ただし、この規格は英語で書かれているため、日本語で確認するには、「JIS Q 27001」という日本語訳版を確認する必要があります。

役割を決める

　SMSの効率的な運用を目指すためには、複数の役割を明確に定める必要があります。以下のような役割が基本的に必要です。

・トップマネジメント：企業の情報の取り扱い方など、最終的な判断を下す人。全体を統括し、従業員へのISMS取得に向けた取り組みを支援する。
・情報セキュリティ管理者：企業の情報セキュリティ活動を統括し、責任を負う人。現場と経営陣の橋渡しができることが求められる。
・情報セキュリティ担当者：情報セキュリティ管理者の指揮の下、現場に情報セキュリティマネジメントシステムを浸透させるための役割を担う。
・システム管理者：社内システムの情報セキュリティに対して責任を負う人。
・内部監査員：情報セキュリティマネジメントシステムが適切に機能しているか、第三者の立場から判断する人。

ただし、トップマネジメント、情報セキュリティ管理者、内部監査員は必ず設置しなければならないが、それ以外の役割は必要に応じて設置できることも覚えておく必要があります。選出される人物は、その役割にふさわしい能力を持つ人を選出する必要があり、必要に応じて教育を行うことも重要です。

情報セキュリティ目標を設定する

　セキュリティ認証を取得するためには、「情報セキュリティ目標」と呼ばれるセキュリティに関する目標を掲げることが必要です。初年度は、「情報セキュリティルールを文書化する」などの基本的な目標が一般的ですが、2年目以降は初年度の経験を踏まえた目標を掲げる企業が増えています。
　例えば、「従業員のセキュリティリテラシー向上」「インシデントをゼロにする」などが挙げられます。これらの目標を達成することで、組織の改善と同時に、セキュリティ意識を高めることができます。より良い目標を設定し、達成に向けて取り組むことが求められます。

取得範囲を決める

　日本ではISMSとPマークがよく知られている情報セキュリティに関する第三者認証です。ただ、Pマークを取得する場合は全社で取得しなければならず、取得範囲を自由に設定することはできません。一方、ISMSは企業側で認証取得範囲を自由に設定できます。
　ISMSを取得する場合、どの事業所、業務、部署で取得するかを検討することが重要です。場合によっては全社で取得することもあれば、グループ会社やシステム開発部、東京本社など、特定の範囲で取得することもあります。取得範囲によって、ISMSの審査やコンサルティングにかかる費用や手間のかかり方が異なります。そのため、必要な範囲で取得してから徐々に範囲を拡大することが、コストや時間などを節約するために重要です。

審査機関を決める

　ISMS認証を取得する場合、審査を受ける必要があります。多くの機関がISMS認証の審査を行っていますので、自社の条件に合う「審査の質」「金額」「審査可能時期」「審査実績」などを考慮して選ぶようにしましょう。
　また、将来的にISO27017などの認証も取得する予定がある場合は、選定した審査機関がISO27017も審査可能な機関であるかを確認することも重要です。こうすることで、将来的に手間をかけることなく認証を取得することができます。
　コンサルティング契約を結んでいる場合は、コンサルタントに審査機関のオススメを聞いてみると良いでしょう。

情報セキュリティ方針を作成する

　ISMSを構築・運用するためには、経営方針が必要です。その方針の一つが「情報セキュリティ方針」です。この方針は、自社のISMSの目的や方向性、トップマネジメントの考え方などが含まれる文書です。
　情報セキュリティ方針は、公開が必須ではありませんが、利害関係者が入手できるようにしておく必要があります。また、従業者に対しては、情報セキュリティ方針を周知しておく必要があります。

情報資産を洗い出す

　自社の情報を保護するためには、まず自社がどのような情報を保有しているのかを理解する必要があります。情報を特定する方法はさまざまであり、部署ごとにExcelファイルなどに情報を一覧化する方法が一般的です。

リスクアセスメントを行う

　リスクアセスメントとは、認証範囲内にある様々なリスクを見つけ出し、評価する一連のプロセスを指します。実際には、業務の見直しの機会にもなります。情報セキュリティ以外でも、業務品質や効率を改善するためのチャンスとなります。
　リスクアセスメントにはさまざまな方法があります。情報資産を基にリスクを洗い出す「情報資産ベースのリスク分析」、業務プロセスを基にリスクを洗い出す「業務フローベースのリスク分析」、既存の標準や基準からベースライン（自社の対策基準）を策定してチェックしていく「ガイドラインベースのリスク分析」などがあります。

法令を特定する

　ISMSの取り組みにおいて、法令遵守も欠かせません。日本で事業を行う企業にとって、関連する法令としては「個人情報保護法」、「マイナンバー法」、「不正アクセス禁止法」などが挙げられます。法令は常に変化しているため、定期的に最新情報を確認してアップデートすることが必要です。

委託先を管理する

　委託先は自社が情報を預ける場所であり、委託先管理はその適格性を判断することです。情報漏洩が発生した場合、責任は委託元に降りかかります。そのため、委託先が適切に情報漏洩対策を行っているかを確認する必要があります。また、委託先の選定後も、定期的に見直しをする必要があります。委託先管理は近年重要視されるポイントであり、審査でチェックされることが多くなっています。

従業員への教育を行う

　ISMSの基準によれば、ISMSにかかわる人々は、適切な教育、訓練、および経験を通じて必要な能力を身につける必要があります。これには、情報セキュリティインシデントを回避するためのリテラシー、および情報セキュリティ体制を改善するために必要な知識やスキルが含まれます。この能力を確認する方法として、eラーニングやセミナーでのテストなどがあります。教育の実施記録を提示することが求められるため、適切に記録を保持する必要があります。

情報セキュリティを継続する

　事業継続計画は、災害や障害、事故などが起こった際に事業を継続するための計画であり、事業継続訓練によって計画の有効性を確認することが重要です。訓練の例としては、避難訓練やサーバー・クラウドサービスの停止時の対応訓練などが挙げられます。事業継続計画の適用範囲内で必要な訓練を行うことが適切です。

内部監査を行う

　内部監査は、PDCAサイクルの「Check(確認)」の工程であり、作成したルールが規格の要求事項を満たしているか、自社で決めたルールに基づき情報セキュリティに関する取り組みを遂行できているかを確認することを目的としています。

マネジメントレビューを行う

　マネジメントレビューは、自社のISMSが意味のあるものかを確認するための見直し活動であり、その結果を文書化する必要があります。インプットの内容には、前回までのレビューの対応状況や情報セキュリティ目標の達成状況などがあり、トップマネジメントに報告されます。レビューされた結果がマネジメントレビューのアウトプットとなります。ISMSの構築・運用には、トップマネジメントの積極的な関与が必要です。

審査を受ける

　審査が行われる前に、審査機関から「審査計画書」が送られます。第1段階審査は、マネジメントシステムの構築・運用確認のための文書確認が中心で、情報セキュリティ目標や方針、リスクアセスメントの実施有無が重視されます。第2段階審査では、実際に構築されたISMSが運用され、有効に機能しているかが審査されます。この段階では、従業員のルール遵守がチェックされ、現場において「パスワードの適切な利用」「放置されたパソコンの有無」などが確認されます。審査に合格することで、「ISMS/ISO27001」の認証を取得することができます。

来年度のスケージュールを決める

　第1段階審査と第2段階審査をクリアした後、約1ヶ月後に認証書が発行されます。認証書が発行された後は、次年度のスケジュールを決定し、ISMSの運用を継続的に改善していくことが重要です。初年度の反省点を踏まえ、より高い水準のISMS運用を目指す必要があります。

PDCAサイクルを回すことが大切

　ISMSの運用・改善には以下の要件が必要です。先述した要求事項とあわせて確認してみましょう。
・PDCAサイクルの実施によるISMSの運用・改善
・リスクアセスメント（リスク特定、リスク分析、リスク評価を含む全プロセス）とリスク対応の実施
　PDCAサイクルは、計画→実行→評価→改善の循環によりマネジメントシステムを運用し、課題を発見・解決していく方法です。

まとめ

　ISMS認証の取得には、多くの要求事項がありますが、これらをしっかりと把握し、実践していくことで、より強固な情報セキュリティマネジメントシステムを構築することができます。ISMS認証を取得することで、顧客やビジネスパートナーからの信頼性が向上し、競争力を高めることができます。
　ISMS認証の取得に悩んでいたりお困りの方は取得コンサルタントへの相談がおすすめです。
　株式会社UPFでは、ISMS取得支援コンサルティングを行っています。取得するかどうかお悩みの方は一度お問い合わせください。

お問い合わせはこちらから。
株式会社UPFについて詳しくはこちらから。