ISO 27001(ISMS)とは? 要求事項や認証取得までの流れ

社内のセキュリティを強化する流れが日本国内においても起きている中、ISO 27001(ISMS)は多くの企業が取得しているセキュリティに関する国際規格です。今回は、ISO 27001の概要から要求事項、取得までの流れについて解説します。

 

ISO 27001(ISMS)とは

ISO 27001とは、国際標準化機構(ISO:International Organization for Standardization)による規格の一つです。ISO 27001は「情報セキュリティマネジメントシステム(ISMS:Information Security Management Systems)」に位置付けられます。ISMSは、組織の情報セキュリティに対するリスク低減を実現するために、情報資産管理・監督するためのシステムのことです。

認定に当たっては、自社で保護すべき情報資産を洗い出し、各情報資産に対して「機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)」の3つの要素を維持し、改善していける仕組みを構築します。近年、情報漏洩やサイバー攻撃などの事件が多発し、情報セキュリティが重要視されています。ISMS認定取得により、総合的な情報システムの管理を継続的に実施することができるため、リスク低減、及び会社の信頼度向上につながります。

ISO 27001とIEC 62443との違い

制御システムに対するセキュリティ基準であるIEC 62443 において、IEC62443-2-1 は、IT システムにおけるセキュリティマネジメントシステム構築の標準となっている ISO/IEC27001を基に、制御システムに固有の部分を追加して作成されています。従って、IEC 62443-2-1 には ISO/IEC 27001 に記載されている要件と同様の要件が多数記載されています。IEC 62443-2-1認証を目指す企業は、まずはISO 27001認証を取得し、もしくはISO 27001を基にマネジメントシステムの構築を取り組む事例が大変に多いと言われています。

ISO 27001とISO 27701とプライバシーマークとの違い

ISO 27701は、ISO 27001およびISO 27002の拡張規格として位置づけられており、 情報セキュリティマネジメントシステムの要求事項に加え、個人情報の処理によって影響を受けかねないプライバシーを保護するための要求事項とガイドラインが規定されています。また、ISO 27701は、日本のプライバシーマーク(Pマーク)と混同されることが多くあります。プライバシーマークとは、「JIS Q 15001」というJIS規格(日本産業規格)に基づき、個人情報保護体制を構築・運用している組織に対して付与される認証です。ISO 27701は、個人情報も含めた会社(組織)の保有する情報資産全般を対象とするものであり、国際規格であることから、世界的にアピールできます。一方、プライバシーマークマークは、会社(組織)の保有する個人情報のみを対象とするものであり、日本独自の規格であることから、日本国内でしか有効ではありません。

2022年の改訂予定について
 
ISO 27001は、2022年中に改訂予定です。

2022年2月にISMSの規格の一つである「ISO 27002」の改訂が行われました。ISO 27002はISO 27001の関連規格であることから、整合が取れている必要があります。そのため、ISO 27001についても改訂が行われる予定です。現時点では、最終国際規格案であるISO/IEC 27001:2022(FDIS)の策定まで作業が進めてられており、2022年中に改訂が実施されるといわれています。

 

ISO 27001の要求事項

ISO 27001は、どのような条件で認定されるのでしょうか。それは10項の要求事項に記されています。1~3までは定義や概要であり、4からが審査内容となります。

1.適用範囲

2.引用規格

3.用語及び定義

4.組織の状況

組織と組織の状況への理解、そして利害関係者のニーズ及び期待に関する理解が求められます。また、構築するISMSの適用範囲を決定し、確立して実施し、維持し、かつ継続的に改善しなければなりません。

5.リーダーシップ

組織を指揮し、管理する個人、もしくはメンバーである「トップマネジメント」は、ISMSに関する「リーダーシップ」と、規格要求事項に記されている「コミットメント」を実証することが求められます。そのために、情報セキュリティ方針を文書化して、組織の役割、責任及び権限を割り当てます。

6.計画

ISMSの計画策定の際、リスク及び機会に対処する活動を計画します。また、情報セキュリティの目的を定め、それを達成するための計画を策定します。

7.支援
 
ISMSに必要な資源を明確にし、必要な力量を決定します。また、ISMSに関する社内外におけるコミュニケーションの実施方法について決定し、規格が要求しているISMS文書、記録を管理します。
 
8.運用
 
運用の計画及び管理の策定を行い、定期的に情報リスクアセスメントを実施し、重大な変化が生じた場合、情報リスクアセスメントを実施します。
 
9.パフォーマンス評価
 
情報セキュリティパフォーマンス評価と、管理策のパフォーマンス評価を行います。監視および測定の結果は、文書化します。年に1回は内部監査を実施し、マネジメントレビューを行い、その結果は記録し、保管します。
 
10.改善
 
不適合が発生した場合の是正処置の手順を明確にし、速やかな修正を行い、その結果の影響を把握し、フォローし、その結果を記録します。また継続的改善を行います。

 

付属書A(管理策)

これに加えて「付属書A(管理策)」があります。管理策とは対策のガイドラインのようなものです。全114項目あり、該当する内容に対して適用させます。

 

 企業がISO 27001を取得するメリット

企業はISO 27001を取得することで、次のようなメリットが期待できます。

  • 信頼性の向上
  • 情報セキュリティリスクの低減
  • 従業員のセキュリティ関する意識向上
  • 業務の効率化

認証取得の意味として大きいのは、やはり対外的なアピールになることです。企業としての信頼性が増すことで、取引先の拡大、売上向上につながります。
さらに、社内に適切な情報セキュリティ管理体制が構築できることで、リスク低減及び、従業員の意識向上などセキュリティ関連のレベルアップを図ることができます。
また許可された者はその情報にいつでもアクセスできる「可用性」の観点からも、情報の活用がされやすくなり、業務効率の向上が期待できます。

テュフズードジャパン 27001

ISO 27001の取得企業

ISO 27001を取得している企業数は、日本全国で6,600以上存在します(2022年8月7日時点)。引用元:情報マネジメントシステム認定センター(https://isms.jp/lst/ind/

今後も、情報セキュリティの需要増加に伴い、取得企業は増えていくと考えられます。

ISO 27001は、主にどのような業種の企業に多く導入されているのでしょうか。例えば、システム開発、デジタルマーケティング・広告業、などのIT関連企業が挙げられます。IT関連は、個人情報や機密情報をデータで取り扱うことが多いためです。小売業も同様に、特にECを実施している場合はデータとして個人情報を常に管理する必要があることから、多くの企業で取得されています。また、金融業は、金銭を取り扱う関係上、顧客の重要な情報を管理していることから、情報セキュリティは強固に求められます。サイバー攻撃の標的になりやすいこともあり、ISMS認定取得は必須といえます。その他、企業の機密情報に触れるシーンのある、ビルメンテナンス業や人材派遣業、運送業などにも多く導入されています。

このように、特に重要な業種を挙げましたが、いまは多くの業種が個人情報や重要な情報を取り扱う時代です。ISO 27001は業界問わず、あらゆる業界で取得する必要があるでしょう。

 

ISO 27001の認証取得までの流れ

一般的に、企業がISO 27001の認証を取得するまでに、どのようなことを実施する必要があるのか、流れをご紹介します。

1.適用範囲の決定
全社に対して、それとも一部署に対してなど、認証が必要な適用範囲を決定します。

2.情報セキュリティに関する方針の決定
情報セキュリティに関する基本方針を決定します。

3.リスクアセスメント
適用範囲に関わるすべての情報資産を洗い出し、管理部門や利用範囲、媒体、保管場所・期間などの情報を記録します。そしてそれぞれの情報資産に対するリスクアセスメントを実施します。

4.文書作成
どのような目的と方法で管理するのか、また手順やマニュアル等の文書を作成します。

5.運用・社内教育
運用を開始し、決定した規定やマニュアルをもとに社内教育を行います。

6.内部監査
内部監査を行います。適用範囲において規定に沿った行動がとられているかどうかを客観的に確認します。

7.マネジメントレビュー
内部監査や利害関係者からのフィードバックを踏まえ、トップマネジメントが、運用をレビューします。このマネジメントレビューは、最低年1回、定期的に実施する必要があります。

8.審査
審査機関より審査を受けます。審査機関は、日本全国に30機関が存在します(2022年8月7日現在)。審査機関を決定し、第一段階審査と第二段階審査の2回受けます。第一段階審査では、文書がISO 27001の規格要求事項に適合しているかを審査し、第二段階審査では、運用状況がどうであるかを審査します。運用に不備があった場合、認証機関から是正指示があるため、その通りに改善し、審査が終了となります。合否などはなく、適切に是正指示に対応すれば認証取得となります。取得後も計画通りに取り組み、PDCAサイクルを回します。

取得後の有効期間は3年間です。その間、1年ごとに定期審査を受ける必要があります。

 

ISO 27001とIEC 62443の両規格の認証取得サービスをご提供

テュフズードは、ISO 27001とIEC 62443の両規格の認証取得サービスを提供できる数少ない認証機関の一つです。類似した要求事項が多数規定されている両規格に対する審査をワンストップサービスで提供いたします。世界各国に800以上あるオフィスのネットワークを活かし、企業規模問わず、多くの認証実績があります。また細やかな認証サービスの重要性を重んじ、質の高い最善のサービスを提供できる体制を整えております。詳細については、サービスページをご覧ください。

>ISO 27001認証取得サービスの詳細はこちら

>ISO 27001認証に関するお問い合わせはこちら

>IEC 62443認証取得サービスの詳細はこちら

次のステップ

Site Selector