ISO27001（ISMS認証）とは？取得方法について徹底解説！

企業にとって、情報セキュリティがますます重要性を増しています。ISMS認証は、情報セキュリティの強化において非常に有効な手段です。本記事では、ISMS認証の取得手順やメリット、デメリットについて解説していきます。

ISMS（情報セキュリティマネジメントシステム）の概要

ISMS（Information Security Management System）は、情報セキュリティを維持・改善するための仕組みであり、情報セキュリティポリシーの策定やリスクマネジメントなどを行います。国際標準規格のISO/IEC 27001がISMSに関する要件を定めており、ISMSを導入することで情報漏洩や不正アクセスなどのリスクを未然に防止することができます。ISMSの導入は、企業や組織において情報セキュリティの重要性が高まる中で、ますます注目されています。

情報セキュリティの3条件ってなに？

情報セキュリティには3条件というものが存在します。それぞれどんなものなのか詳しく解説していきます。

1. 機密性
機密性とは、情報が秘密であるべきであるという性質を指します。つまり、情報が不正に開示された場合、その情報が秘匿されていたという意味で機密性が低下します。例えば、クレジットカード番号や社員の個人情報などが機密情報にあたります。情報セキュリティでは、機密情報を適切に扱うためのアクセス制御や暗号化などの技術的手段や、情報管理のためのポリシーやガイドラインなどの管理的手段が用いられます。

2. 完全性

完全性とは、情報が正確であること、および改ざんや不正操作が行われていないことを指します。つまり、情報が正確であることが保証されている場合にのみ、情報が有用であると言えます。情報セキュリティでは、情報の改ざんや不正アクセスを防止するため、アクセス制御やデータの暗号化などの技術的手段や、適切な監査や管理体制などの管理的手段が用いられます。

3. 可用性

可用性とは、情報やシステムが必要な時に利用可能であることを指します。つまり、情報やシステムが利用できない状態にならないよう、適切な保守や予防措置を行うことが必要です。可用性の確保には、システムの運用・保守管理や、障害対応のための復旧・バックアップ計画などが重要な役割を担っています。また、可用性はビジネスにとっても重要であり、システムダウンや情報漏洩などの問題が発生した場合には、企業の業務や顧客サービスに影響が及ぶことがあります。

ISMS認証とPマーク（プライバシーマーク）の違う点

ISMS認証とPマークはどのような違いがあるのでしょうか？保護対象と適用範囲の違いに分けて確認していきましょう。

1. 保護対象

ISMS認証は、企業や団体が情報セキュリティマネジメントシステム（ISMS）を適切に構築し、運用しているかどうかを評価する制度です。保護対象は、企業や団体が保有する情報資産全般に及びます。
一方、Pマークは、個人情報保護法に基づき、個人情報の適切な取り扱いを行っている企業や団体に対して与えられるマークです。保護対象は、個人情報に限定されます。
つまり、ISMS認証は情報セキュリティ全般を評価する制度であり、Pマークは個人情報の取り扱いに限定されたマークであると言えます。企業や団体が情報セキュリティを適切に管理することは、個人情報保護の観点からも重要ですが、保護対象が異なることに注意が必要です。

2. 適用範囲

ISMS認証は、情報セキュリティマネジメントシステム全体に対して適用される認証制度です。つまり、組織全体の情報セキュリティが評価されます。
一方、Pマークは個人情報の保護に特化した認証制度であり、組織の個人情報保護に対する取り組みが評価されます。
つまり、Pマークは特定の個人情報に対して適用されることが多いです。また、Pマークは日本国内においてのみ適用される制度ですが、ISMS認証は国際的に認められた制度であり、国内外の企業に適用されます。

ISMS認証のメリット

ISMS認証取得のメリットは大きく３つあります。それぞれみていきましょう。

1. ステークホルダーに対して信頼性をアピールできる

ISMS認証を取得することで、情報セキュリティに関する要件を満たしている企業としての信頼性がアップし、安心感を顧客や取引先に与えることができます。しかし、ISMS認証はあくまでも「国際基準をクリアしている」ことを証明するものであり、完全なセキュリティ対策の実施を保証するものではないことに注意が必要です。

2. 入札の取引要件をクリア可能に

ISMS認証を取得することは、自治体や行政から仕事を請け負う条件に含まれることがあります。この認証を取得することで、企業は入札できる案件が広がり、事業拡大や売上向上などのメリットを享受できます。

3. セキュリティ意識の高まりからリスクを低減できる

情報セキュリティに関する方針策定や従業員の教育などを行うことでISMS認証を取得できます。この取得過程で、セキュリティに対する意識が高まり、リスク管理能力の向上につながるため、企業や組織のセキュリティ対策の向上にもつながるといえます。また、ISMS認証の取得により、企業としての信頼性や競争力を高めることができるというメリットもあります。からリスクを低減できる

ISMS認証取得のデメリット

ISMS認証を取得することのデメリットは費用が発生してしまうことです。
ISMS認証を取得するためには、審査費用が必要であり、その金額は認証機関や企業・組織の規模によって異なります。また、認証を取得した後も、毎年審査を受ける必要があり、そのための費用も必要です。さらに、コンサルタント会社にサポートを依頼したり、セキュリティ対策のための機器導入費用が必要な場合もあります。

ISO27001（ISMS認証）の取得流れ

ISMS認証の取得の流れは以下のようになります。
・適用範囲の検討
・情報セキュリティの方針決定
・認証機関の選択
・リスクアセスメントの実施
・内部監査の実施
・マネジメントレビューの実施
・認定監査を受ける
・審査結果の公開
・PDCAサイクルを繰り返す

それぞれについて説明していきます。

適用範囲の検討

ISMS認証を取得する際には、まずどの組織で取得するかを決めることが重要です。企業全体での取得もできますが、事業や部門ごとでも取得できるため、情報資産の内容に合わせて最適な適用範囲を決める必要があります。

情報セキュリティの方針決定

ISO27001（ISMS 認証）を取得するには、情報資産を守るための仕組みが必要です。まずは現状をチェックして、何が不足しているか確認します。必要なものを把握し、方針を決めてから実際に仕組みを構築することが重要です。

認証機関の選択

認証機関によって審査費用が異なります。様々な機関で見積もりを取って自社に合った認証機関を選びましょう。

リスクアセスメントの実施

リスクアセスメントとは、セキュリティリスクを評価し対策をとることです。情報資産管理台帳を作成し、リスク分析を行い、計画を立てることが重要です。

内部監査の実施

内部監査を行い、情報セキュリティ強化のための準備内容を再度確認し、問題点があれば改善する必要があります。社内担当者やコンサルタントが監査を行い、細かい部分まで確認し、認証取得に向けて体制を整えることが重要です。

マネジメントレビューの実施

運用状況や内部監査の結果をまとめ、経営者に報告して、改善できる部分がないか検討します。認定審査前の最後の確認であるため、入念なチェックが必要です。必要に応じて改善点を見つけ、認証前に改善する必要があります。

認定審査を受ける

自社が選んだ認定機関に申請して、2段階の認定審査を受けます。第1段階は文書審査、第2段階は情報セキュリティの現状についてのチェックが行われます。問題がなければ認証登録が行われ、問題がある場合は改善計画書を提出して改善すれば認証登録を目指せます。

審査結果の公開

認証機関による認証が終わると、情報マネジメントシステム認定センターへ報告がされます。その後自社の認証結果が公開されます。
有効期限は3年間です。更新手続きを行うことでISMS認証の更新ができます。

PDCAサイクルを繰り返す

認証取得後も中間審査があるため、セキュリティの強化を継続的に行い、年に1回以上のサーベイランス審査で問題を指摘されないようにすることが重要です。

ISMS認証の取得にかかる費用の目安

認証の取得には大きな費用がかかり、数十万円から数百万円程度です。申請、予備審査、初回認証審査、認証書の発行など、それぞれの工程に料金が設定されています。維持審査や更新審査も費用がかかるほか、審査員の交通費や宿泊費などの経費も必要になる場合があります。コンサルタントに依頼する場合は、その料金も費用に含まれてきます。

まとめ

情報漏洩などのリスクを最小限に抑え、お客様からの信頼を高めるために、ISMS認証の取得をおすすめします。認証取得により、セキュリティ体制の整備や運用管理の向上が見込め、企業価値の向上にもつながります。

株式会社UPFでは、ISMS認証取得支援コンサルティングを行っています。
ISMS認証取得でお悩みの企業様・ご担当社様は、Pマーク取得の実績No.1のコンサル会社UPFまでどうぞお気軽にお問い合わせください。

お問い合わせはこちらから。
株式会社UPFについて詳しくはこちらから。