ISO 27001 （ISMS）認証取得サービス

ISO 27001（ISMS）が求められるようになった背景

情報化社会の進展に伴い、組織の「情報」は、経営のための資産の一つとして認識されるようになり、セキュリティ対策を強化する会社が増えました。 しかし、情報管理が適切に実施されなかった場合、組織のイメージや存続が危ぶまれます。

組織の重要な情報に、脅威および 脅威を誘引する情報管理の脆弱性により発生するリスクは、完全に排除することは、極めて困難です。しかし、重要な情報に リスクが発生した場合、処置が遅れることで、問題はさらに深刻なものになります。

• 脅威：例．漏えい、改ざん、利用停止等
• 脆弱性：例．アクセス制御の設定ミス、鍵の未施錠、ルールの認識不足等
• リスク：脆弱性により、脅威が発生し、情報に及ぼす影響が発生する現実的な可能性のこと

情報に関するリスクの発生は、組織のイメージが失墜する場合もある、深刻な問題です。このようなリスク は、組織の規模、業種、または企業風土に関わらず潜在しています。 組織の外部と接点があり、情報管理の脆弱性を有する組織では、このようなリスクを引起す可能性が高くなります。 

上記のようなリスクから情報資産を保護し、情報資産の価値を高めることを目的として、ISO 27001は開発されました。ISO 27001の概要と認証取得までのプロセスは以下の通りです。

ISO 27001（ISMS）とは

ISO 27001（ISMS：：Information Security Management Systems ）とは、組織の情報セキュリティ管理のための国際規格の一つです。

ISO27001とISMSはどちらも情報セキュリティ管理に関連する用語として併記されることが多いですが、それぞれ違いがあります。 ISMSは組織の情報セキュリティを管理するための仕組みを指しており、ISO27001はそのISMSの構築や運用するための手順や要件を定めています。そのため、 ISMSはあくまで仕組みであり、ISO27001はそのISMSの内容に基づいて情報セキュリティ管理を具体的に実現するためのガイドラインや基準を提供するものなのです。

組織の情報セキュリティを維持するための仕組みとして、情報セキュリティマネジメントシステム（ISMS）がまとめられ、品質マネジメントシステムや環境マネジメントシステムの仕組みと整合性がとられた後、2005年に「ISO/IEC27001:2005」という国際規格になり、その後、「ISO/IEC27001:2013」となり、現在は「ISO/IEC27001:2022」が最新規格で す。 

ISO27001の要求事項は以下の通りです。
１．適用範囲
２．引用規格
３．用語及び定義
４．組織の状況
５．リーダーシップ
６．計画
７．支援
８．運用
９．パフォーマンス評価
１０．改善

＞ISO27001（ISMS）とは-要求事項や取得までの流れ

ISO/IEC 27001:2013について

まず「情報セキュリティ」とは、情報を以下の３つの側面で保護することをいいます。

•機密性 ：例．重要な情報等がアクセス権のない人物によって閲覧されることがないこと。

•完全性： 例．アクセスし、利用する情報が完全であること。また、処理した情報が正確であること。

•可用性 ：例．必要な時に情報にアクセス及び利用できること。

情報セキュリティマネジメントシステム（ISMS）は、組織の情報セキュリティを維持するための仕組みとして、1995年に英国規格BS7799としてまとめられました。この規格は、2002年に品質マネジメントシステムや環境マネジメントシステムの仕組みと整合性がとられた後（BS7799-2:2002）、2005年10月に「ISO/IEC27001:2005」という国際規格になり、その後、「ISO/IEC27001:2013」となり、現在は「ISO/IEC27001:2022」が最新規格です。

情報は、事業を運営するために必須の資産であり、ツールでもあります。しかし、組織の情報に、脅威および脅威を誘引する情報管理の脆弱性からリスクが発生した場合、顧客情報の漏えいや不正アクセスにより、組織のみならず、株主や顧客、取引先などにも影響を与えてしまいます。組織の一部分だけに頼らず、組織全体で情報セキュリティを維持することは、非常に重要な経営課題です。

ISO/IEC 27001:2022について

ISO/IEC27001:2022が2022年10月に発行されました。移行期間は2025年の10月31日までと なっており、それまでに移行を済ませる必要があります。
基本的には、ISO/IEC 27001:2013の内容が継承されている形となりますが、セキュリティリス ク対応の実施に必要な管理策を定めた「付属書A」が大きく改定されたものとなります。

ISO/IEC 27001:2022の詳しい内容や、改定ポイントなどをまとめた資料を以下のフォームから 無料でダウンロードいただけます。

＞ISO/IEC 27001 情報セキュリティ マネジメントシステムと 認証への道筋

ISO 27001（ISMS）構築に必要な事項

ISO 27001（ISMS）認証取得までのプロセス

認証申請をされてから、次のような段階を経て「ISO/IEC 27001:2013」の認証を取得することができます。
    

テュフズードのISO 27001（ISMS）認証取得サービス

1. ISO 27001（ISMS）認証審査サービス
   テュフズードジャパンは、事前相談、契約締結に続き、テュフズード審査員による第1段階審査、第2段階審査およびすべての不適合の是正処置の検証を実施し、弊社認証委員会の承認後に審査報告書と認証書を発行いたします。
2. 研修サービス
   テュフズードジャパンは、規格要求事項の概要を提示する基礎コースを開設しています。
   >ISO/IEC 27001 改正ポイント ISMS認証最新版
   
3. その他の試験および認証サービス
   テュフズードの専門家がお客様のWebサイトおよび社内ネットワークの脆弱性を発見するために特殊な技術を使用し、発生前に攻撃の与える影響を評価します。検証を実施し優先順位を付加した、注意すべき脅威のリストを提供します。

ISO 27001（ISMS） 認証取得に関するお問い合わせはこちら 

サイバーセキュリティの専門家による無料相談サービス

テュフズードでは、サイバーセキュリティの専門家が企業のお悩みに応える無料相談サービスをご提供しております。

「情報収集をしてみたところ認証取得が必要そうだが、実際のところどうだかわからない」
「取引先から取得を求められた認証がどういうものか、何を準備すればいいのかを知りたい」
「必要な試験・評価の手順や所要期間、概算費用を知りたい」

といった規制・試験・認証に関わる疑問やご相談事項に、専門家がオンラインで直接回答します。規制・試験・認証に関連する様々な疑問の解消に是非お役立てください。

専門家一覧はこちら