社内のセキュリティを強化する流れが日本国内においても起きている中、ISO 27001(ISMS)は多くの企業が取得しているセキュリティに関する国際規格です。今回は、ISO 27001の概要から要求事項、取得までの流れについて解説します。
<目次>
>ISO 27001とは?ISMSとの関係性
>ISO 27001と他規格との違い
└ISO 27001とIEC 62443との違い
└ISO 27001とISO 27701とプライバシーマークとの違い
└ISO 27001とISO 27017の違い
└2022年の改訂について
>ISO 27001の要求事項
>企業がISO 27001を取得するメリット
>ISO 27001の取得企業
>ISO 27001の認証取得までの流れ
>ISO 27001の取得費用
>ISO 27001は自社で取得するか外部(コンサルタント)に依頼するか
>テュフズードのISO 27001とIEC 62443の認証取得サービス
ISO 27001とは、国際標準化機構(ISO:International Organization for Standardization)による国際規格の一つです。ISO 27001は「情報セキュリティマネジメントシステム(ISMS:Information Security Management Systems)」に位置付けられます。ISMSは、組織の情報セキュリティに対するリスク低減を実現するために、情報資産管理・監督するためのシステムのことです。
情報漏洩やサイバー攻撃が頻発する現代におい て、 セキュリティ対策がしっかりと整備されて いることを第三者機関により証明することが求 められています。ISO27001を取得することで、 セキュリティ対策のレベル向上ができ、安全な 事業運営を行うことができます。また、情報セ キュリティに関する信頼を示し、取引先やお客 様に対して安心感を提供することにも繋がりま す。最新のセキュリティリスクに対応するため に何度も改訂されているため、常にチェックが 必要です。
ISO27001と併記されることが多いISMSとの関 係性もご紹介します。ISO 27001は「情報セキュ リティマネジメントシステム(ISMS: Information Security Management System)」に位置付けられます。ISMSは、組 織の情報セキュリティに対するリスク低減を実 現するために、情報資産管理・監督するための システムのことです。
つまり、ISMSは組織がセキュリティリスクを管理するための仕組みを指し、ISO 27001はISMSの構築や運用方法を定めている国際規格となります。ISMSを構築・運用していく際は、ISO 27001で定められている要求事項に沿って進める形となります。
ISMS認定に当たっては、自社で保護すべき情報資産を洗い出し、各情報資産に対して「機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)」の3つの要素を維持し、改善していける仕組みを構築します。近年、情報漏洩やサイバー攻撃などの事件が多発し、情報セキュリティが重要視されています。ISMS認定取得により、総合的な情報システムの管理を継続的に実施することができるため、リスク低減、及び会社の信頼度向上につながります。
制御システムに対するセキュリティ基準であるIEC 62443 において、IEC62443-2-1 は、IT システムにおけるセキュリティマネジメントシステム構築の標準となっている ISO/IEC27001を基に、制御システムに固有の部分を追加して作成されています。従って、IEC 62443-2-1 には ISO/IEC 27001 に記載されている要件と同様の要件が多数記載されています。IEC 62443-2-1認証を目指す企業は、まずはISO 27001認証を取得し、もしくはISO 27001を基にマネジメントシステムの構築を取り組む事例が大変に多いと言われています。
ISO 27701は、ISO 27001およびISO 27002の拡張規格として位置づけられており、 情報セキュリティマネジメントシステムの要求事項に加え、個人情報の処理によって影響を受けかねないプライバシーを保護するための要求事項とガイドラインが規定されています。また、ISO 27701は、日本のプライバシーマーク(Pマーク)と混同されることが多くあります。プライバシーマークとは、「JIS Q 15001」というJIS規格(日本産業規格)に基づき、個人情報保護体制を構築・運用している組織に対して付与される認証です。ISO 27701は、個人情報も含めた会社(組織)の保有する情報資産全般を対象とするものであり、国際規格であることから、世界的にアピールできます。一方、プライバシーマークマークは、会社(組織)の保有する個人情報のみを対象とするものであり、日本独自の規格であることから、日本国内でしか有効ではありません。
ISO 27017はISO 27001のガイドラインンの中でさらにクラウドセキュリティに特化したガイドラインとなります。ISO 27017はクラウド環境でのセキュリティの確保を目的とし、2016年に発行されました。ISO 27017の認証を取得したい場合は、ISO 27001が取得されている必要があり、ISO 27001も取得していない場合は、同時に取得する必要があります。
>ホワイトペーパー「ISO/IEC 27001 情報セキュリティマネジメントシステムと認証への道筋」
ISO 27001は、どのような条件で認定されるのでしょうか。それは10項の要求事項に記されています。1~3までは定義や概要であり、4からが審査内容となります。具体的には以下にご紹介します。
1.適用範囲
2.引用規格
3.用語及び定義
4.組織の状況
組織と組織の状況への理解、そして利害関係者のニーズ及び期待に関する理解が求められます。また、構築するISMSの適用範囲を決定し、確立して実施し、維持し、かつ継続的に改善しなければなりません。
5.リーダーシップ
組織を指揮し、管理する個人、もしくはメンバーである「トップマネジメント」は、ISMSに関する「リーダーシップ」と、規格要求事項に記されている「コミットメント」を実証することが求められます。そのために、情報セキュリティ方針を文書化して、組織の役割、責任及び権限を割り当てます。
6.計画
ISMSの計画策定の際、リスク及び機会に対処する活動を計画します。また、情報セキュリティの目的を定め、それを達成するための計画を策定します。
これに加えて「付属書A(管理策)」があります。管理策とは対策のガイドラインのようなものです。全114項目あり、該当する内容に対して適用させます。
企業はISO 27001を取得することで、次のようなメリットが期待できます。
• 信頼性の向上
• 情報セキュリティリスクの低減
• 従業員のセキュリティ関する意識向上
• 業務の効率化
認証取得の意味として大きいのは、やはり対外的なアピールになることです。企業としての信頼性が増すことで、取引先の拡大、売上向上につながります。
さらに、社内に適切な情報セキュリティ管理体制が構築できることで、リスク低減及び、従業員の意識向上などセキュリティ関連のレベルアップを図ることができます。
また許可された者はその情報にいつでもアクセスできる「可用性」の観点からも、情報の活用がされやすくなり、業務効率の向上が期待できます。
ISO 27001を取得している企業数は、日本全国で6,600以上存在します(2022年8月7日時点)。
*引用元:情報マネジメントシステム認定センター(https://isms.jp/lst/ind/)
今後も、情報セキュリティの需要増加に伴い、取得企業は増えていくと考えられます。
ISO 27001は、主にどのような業種の企業に多く導入されているのでしょうか。例えば、システム開発、デジタルマーケティング・広告業、などのIT関連企業が挙げられます。IT関連は、個人情報や機密情報をデータで取り扱うことが多いためです。小売業も同様に、特にECを実施している場合はデータとして個人情報を常に管理する必要があることから、多くの企業で取得されています。また、金融業は、金銭を取り扱う関係上、顧客の重要な情報を管理していることから、情報セキュリティは強固に求められます。サイバー攻撃の標的になりやすいこともあり、ISMS認定取得は必須といえます。その他、企業の機密情報に触れるシーンのある、ビルメンテナンス業や人材派遣業、運送業などにも多く導入されています。
このように、特に重要な業種を挙げましたが、いまは多くの業種が個人情報や重要な情報を取り扱う時代です。ISO 27001は業界問わず、あらゆる業界で取得する必要があるでしょう。
一般的に、企業がISO 27001の認証を取得するまでに、どのようなことを実施する必要があるのか、流れをご紹介します。
1.適用範囲の決定
全社に対して、それとも一部署に対してなど、認証が必要な適用範囲を決定します。
2.情報セキュリティに関する方針の決定
情報セキュリティに関する基本方針を決定します。
3.リスクアセスメント
適用範囲に関わるすべての情報資産を洗い出し、管理部門や利用範囲、媒体、保管場所・期間などの情報を記録します。そしてそれぞれの情報資産に対するリスクアセスメントを実施します。
4.文書作成
どのような目的と方法で管理するのか、また手順やマニュアル等の文書を作成します
5.運用・社内教育
運用を開始し、決定した規定やマニュアルをもとに社内教育を行います。
6.内部監査
内部監査を行います。適用範囲において規定に沿った行動がとられているかどうかを客観的に確認します。
7.マネジメントレビュー
内部監査や利害関係者からのフィードバックを踏まえ、トップマネジメントが、運用をレビューします。このマネジメントレビューは、最低年1回、定期的に実施する必要があります。
8.審査
審査機関より審査を受けます。審査機関は、日本全国に30機関が存在します(2022年8月7日現在)。審査機関を決定し、第一段階審査と第二段階審査の2回受けます。第一段階審査では、文書がISO 27001の規格要求事項に適合しているかを審査し、第二段階審査では、運用状況がどうであるかを審査します。運用に不備があった場合、認証機関から是正指示があるため、その通りに改善し、審査が終了となります。合否などはなく、適切に是正指示に対応すれば認証取得となります。取得後も計画通りに取り組み、PDCAサイクルを回します。
取得後の有効期間は3年間です。その間、1年ごとに定期審査を受ける必要があります。
>ホワイトペーパー「ISO/IEC 27001 情報セキュリティマネジメントシステムと認証への道筋」
ISO 27001の認証取得にかかる費用は、組織の規模や業種、適用範囲によって異なります。具体的な費用については、審査機関、コンサルティング会社で見積りを受けると良いでしょう。一般的には以下の項目にて費用がかかります。
審査費用:
認証を取得するために審査機関に支払う費用です。
コンサルティング費用:
外部企業に導入を依頼する際にかかる費用です。
ランニングコスト:
ISO 27001は一度取得したら終わりではなく、維持するために毎年審査を受ける必要があります。審査の度に審査費用がかかります
ISO 27001の認証取得は自社で取得する場合とコンサルタントに依頼する場合があります。
それぞれのメリットデメリットを把握した上で総合的に判断すると良いでしょう。
自社で取得する場合は、費用が抑えられることが一番のメリットであると言えます。また、自社で取得することで組織全体で情報セキュリティ意識を浸透させることができます。
デメリットとしては、ISO 27001の認証取得には専門的な知識と経験が必要であり、組織内にそれらの能力を持つ人材がいない場合は、一から学習を始めることとなり、構築にかなりの時間を要することになります。また、取得の各プロセスは多くの時間が割かれるので、対応する従業員に負荷がかかる可能性があります。
コンサルタントは、ISO 27001の取得に関する幅広い経験と知識を持っているので、効率的かつ正確に取得プロセスを進めることができます。また、取得にかかる従業員の負担が軽減されることもメリットとなります。一方、デメリットとしては、自社で取得する場合に比べて費用が多くかかってしまうことが挙げられます。
テュフズードは、ISO 27001とIEC 62443の両規格の認証取得サービスを提供できる数少ない認証機関の一つです。類似した要求事項が多数規定されている両規格に対する審査をワンストップサービスで提供いたします。世界各国に800以上あるオフィスのネットワークを活かし、企業規模問わず、多くの認証実績があります。また細やかな認証サービスの重要性を重んじ、質の高い最善のサービスを提供できる体制を整えております。詳細については、サービスページをご覧ください。
Site Selector
Global
Americas
Asia
Europe
Middle East and Africa
