ISO27001(ISMS)とは?その概要と取得に向けた流れを解説
国際標準化機構が定める「ISO認証」には、なんと5万以上の種類があると言われています。日本でも浸透しているISO認証のうち、認証件数が伸びているものの一つが、ISO27001。ISO27001は、ネットワーク社会において自社を守るための強固な基盤となる情報セキュリティマネジメントシステムです。今回はそのISO27001について、概要と取得に向けた流れを解説します。
ISO27001(ISMS)とは?
ISO27001(以下、ISMS)とは、Information Security Management Systemの略で、「情報セキュリティマネジメントシステム」を意味します。組織に情報資産を安全に確保・管理する枠組みが構築されていることを認証する国際規格です。情報漏えいやサイバー攻撃などの事件が多発し情報セキュリティが重要視されている昨今、このISMSを取得することで社内の総合的な情報管理体制が整備され、会社の信頼度向上につながることが期待されます。
ISMSの構造は複雑で、特にプライバシーマーク制度と混同されることも多いようです。プライバシーマークとの違いはこちらの記事で詳しく解説していますので、ご参考ください。
また、似た表記に「JIS Q 27001」もありますが、これはISO27001を日本語に訳し、日本産業規格(JIS)として制定したものです。
取得までのスケジュール
ISO27001の認証を取得するには、情報セキュリティシステムを社内で制定・運用、記録し審査の申請が必要です。制定~申請までにかかる期間が約4か月ほど、申請~認証まで短くて約3ヶ月と言われていますが、企業のマネジメントシステムの構築スピードによります。審査が混み合う時期なども見据えて、全体を通して約1年と想定しておくと良いでしょう。
取得までの流れ
ここでは、取得までの流れをポイントを絞って見ていきましょう。
適用範囲の決定
まず、ISO27001を社内のどの部署で取得するのかを決定します。全社なのか一部署だけか、認証が必要な部門を確認しましょう。適用範囲を広げるほど、認証までの労力・時間がかかります。このことを考慮したうえで見極めるとよいでしょう。
プロジェクトチームの発足
認証取得を目指す範囲をベースに、トップマネジメントと一体となったプロジェクトチームを結成。そのリーダーやメンバーを決定します。この時点で大まかなスケジュールを設定し、各メンバーが業務負担についてもある程度把握しておくとスムーズに進めることができるでしょう。
情報セキュリティに関する方針の決定
次に会社の情報セキュリティに関する基本方針を決定します。情報保護に重点を置くのか、効率性を重要視するのか、認証取得することで会社に期待できるものは何かを考えてみると良いでしょう。
リスクアセスメント
ここからが実務です。まず、適用範囲に関わるすべての情報資産を情報資産台帳に洗い出します。情報資産台帳には、管理部門や利用範囲、媒体、保管場所・期間などの情報を記載していきますので、ある程度時間を要する作業となります。
次に、洗い出した情報資産に対するリスクアセスメントを実施します。その具体的方法は定められていませんが、よく利用されているものの一つがベースラインアプローチという手法です。これは、既存のガイドラインや指示書などをもとに、導入できる管理策を取り入れて補うリスクアセスメントの手法のことです。
文書化
管理目的や管理策を記載した適用宣言書や、手順やマニュアルを文書化します。ISMSは情報セキュリティの仕組みを文書化することを求めていますので、ここが重要なポイントとなります。
ここまで構築してきた規定やマニュアルをもとに社内教育をし、運用を開始します。
内部監査
ISMS運用開始後、内部監査を行います。客観的な判断が必要なため、別部署の担当者などが、適用範囲において規定に沿った行動がとられているかどうかを確認します。
マネジメントレビュー
内部監査や利害関係者からのフィードバックを受け、トップマネジメントが組織のISMSの運用が適切に行われているかを判断し、記録します。最低年1回、定期的に実施する必要があります。
認証機関の決定と申請、審査を受ける
ISMSの審査機関は全国に27機関が存在します。(※2020年12月16日現在、ISMS-ACより)それぞれの機関によって料金などが異なるので、複数の機関から見積もりをとって決定すると良いでしょう。
審査は第一段階審査(文書審査がメイン)と第二段階審査(現地審査)の2回に分けて行われます。
結果は合否ではありませんので、審査後に不備があっても是正処置を完了すれば、認証取得となります。
継続的にPDCAサイクルを回す
ISMSの有効期間は取得後3年です。その間、1年ごとに定期審査、3年目には更新審査を受ける必要があります。取得後も継続的に取り組んでPDCAサイクルを回すように努力が求められます。また、維持するための作業や費用がかかるので、あらかじめ予算確保も必要でしょう。
コンサルタントの活用
ここまでISO27001取得の流れをご紹介しましたが、専門知識がない状態で一から取得を目指すのは、かなりの労力が必要だと感じる方も多いのではないでしょうか。
そこでおすすめしたいのが、コンサルタントの活用です。専門知識を持つ第三者の客観的なアドバイスは、社内でスムーズに認証取得を進める大きな支援となります。一度検討してみてはいかがでしょうか。
おすすめのサービス 日本パープルの情報セキュリティコンサルティング
日本パーブルの情報セキュリティコンサルティングサービスなら、経験豊富なコンサルタントが会社の実態に合わせた支援をしてくれるのはもちろん、最新の規定にも対応してくれます。また、同社は情報セキュリティ分野の専門家として10,000を超える事業所との取引があり、機密情報の保持や管理についての知識が豊富です。そのため、会社の実態に合わせて、無理なくISO取得を進めることができます。さらに、機密情報の電子化や保管などの事業も遂行しているため、運用業務もサポートできる点が強みとなっているようです。