ISMS認証とISMAPの違いとは?
ここではISMS認証とISMAPの違いをわかりやすく解説します。どちらも情報セキュリティに関する認証制度ですが、それぞれの特性や違いを理解してしまえば区別するのは簡単です。ぜひ参考にしてください。
ISMS認証とは
ISMS認証とは「Information Security Management System」の略称。情報セキュリティマネジメントシステムに関する国際規格であり、第三者機関が基準を満たしていることを認証する制度です。
組織の情報資産を保護し、リスクを管理するための体系的な枠組みであり、認証を取得することで、組織の情報セキュリティレベルの高さを客観的に示せます。
主な特徴は、情報漏洩の防止やシステム障害へのリスク軽減などを目的としていることです。そのため、個人情報や機密情報を扱う金融機関、医療機関などではISMSの導入が必須といえるでしょう。また、インターネットに繋がる全ての組織では、情報資産を保護する効果的な手段のひとつになります。
ISMAPとは
ISMAPは「Information system Security Management and Assessment Program」の略称。政府情報システムのためのセキュリティ評価制度で、政府がクラウドサービスを導入する際、政府が求めるセキュリティ水準を満たし、信頼できるサービスを選定できるように令和3年から始まった制度です。
また、ISMAPは政府のクラウド化に重要な制度というだけでなく、政府機関へのサービス提供に関心のある組織にとっても、登録を検討すべき制度です。ISMAPに登録することで、政府機関という顧客を獲得できる可能性が広がるでしょう。
ISMAPとISMS認証の違いとは
さまざまな種類があるセキュリティ認証の中でも、よく似た名称で混同しやすいISMAPとISMS認証。どちらも情報セキュリティには重要なものですが、その目的や対象、審査の内容などに違いがあります。
ここからは、ISMS認証とISMAPの違いについて、目的や評価基準、費用などを比較しながら解説します。
目的と対象の違い
ISMAPの目的は、政府機関がクラウドサービスを調達する際の、セキュリティレベルに関する評価制度。従って、対象となるのは、主にクラウドサービスを提供する事業者です。
しかし、ISMS認証は、国際規格に基づき、組織全体の情報セキュリティレベルを継続的に改善していくための仕組みづくりを目的としています。そのため、対象となるのは、ISMAPのようなクラウドサービス事業者だけでなく、インターネットに繋がる、あらゆる組織が対象となります。
認証・評価機関
ISMAPは、監査法人(ISMAP監査機関)による監査が行われます。政府機関が求める厳しい基準を満たすクラウドサービスを評価し登録されます。
一方、ISMS認証は、国際規格であるISO/IEC 27001に基づき、組織の情報セキュリティマネジメントシステムが適切に構築・運用されているかを第三者機関(ISMS認証機関)が審査し、合格することで認証を取得できます。
有効期限
ISMAPの有効期限は、登録の対象となった監査期間の末日の翌日から1年4ヶ月後までとなっており、有効期限までに登録の更新を申請する必要があります。加えて、実質的に毎年更新審査があるため、継続的なセキュリティ対策が必要です。
ISMS認証の有効期限は、初回審査の登録判定の翌日を登録日として3年。有効期限が到来する3〜4ヶ月前に更新審査を受けることで、認証期限を3年間延長することができます。再認証審査までの間、毎年維持審査を受ける必要があることから、ISMAPと同様に継続的なセキュリティ対策が求められます。
基準
ISMAPでは、ISMAP評価基準に基づいて第三者機関がセキュリティ対策の実施状況などを審査します。この評価基準は、政府が定めた詳細なセキュリティ基準であり、事業者はこの基準に基づいてセキュリティ対策を実施する必要があります。
一方、ISMS認証では、ISO/IEC27001などの国際規格を基準に、第三者機関がISMSの構築や運用状況を審査します。ISMS認証を取得するためには、この規格の要求事項を満たす必要があり、継続的な改善のほか、情報セキュリティマネジメントの全般的な事項を規定しています。
監査・審査費用
ISMS認証の費用は企業の規模や従業員数、対象とする業務範囲によって異なりますが、数十万~数百万円程度とされています。企業規模が大きくなると費用も増える傾向にあります。
ISMAPの監査費用は、数百万円から数千万円と非常に高額です。特に大規模なクラウドサービスを提供する企業にとっては、審査のための費用が大きな負担となることがあります。しかし、この費用を負担することにより、政府機関との取引において大きな利点を得ることができるため、クラウド事業者にとっては重要な投資といえるでしょう。
ISMAPとISMS認証の共通点とは
ISMS認証とISMAPは、それぞれ別の仕組みのため完全に代替することはできません。しかし、どちらも情報セキュリティに関する仕組みであるため共通点もあります。ここからは、ISMS認証とISMAPの共通点について解説します。
情報セキュリティ管理の重視
どちらも組織の情報資産の機密性、完全性を確保することを目的としています。つまり、情報漏洩や不正アクセス、システム障害などから、組織の情報資産を保護するため、情報セキュリティ管理を重視する対策が求められているのが共通点です。
文書化された管理体制
ISMS認証とISMAPの両方とも、情報セキュリティ対策を文書化して明確に管理することを求めています。これにはセキュリティ対策の方針や手順書を作成し、それを実際の業務で適用することも含まれます。文書化された管理体制は、外部監査を受ける際にも重要で、組織が定めたルールに従いセキュリティ対策を行っていることを証明するものでもあります。
継続的な改善
継続的な改善は、ISMAPとISMS認証に共通する重要な要素です。技術の進歩や新たな脅威の出現、関連する法規制の変更など、情報セキュリティを取り巻く環境は常に変化しています。情報セキュリティレベルを常に高い水準に維持するためには、継続的な改善が欠かせません。
ISMS認証とISMAPはどちらを行うべき?
ISMS認証とISMAPは、どちらも情報セキュリティのリスクを考える際に役立つものですが、どちらを優先的に導入すべきかは、組織の状況や目的によって異なります。
例えば、政府機関との取引を目指している場合や、公共入札への参加を考えているクラウドサービス提供者にとっては、ISMAPが有用といえるでしょう。一方で、一般企業との取引や社内の情報セキュリティ体制を強化するために、広く国際的に認知された信頼性を示したい場合には、ISMS認証が適していると言えるかもしれません。
もしも、情報セキュリティの専門家やコンサルティング会社に相談するのも一つの手です。組織の状況や目的に合う、最適な認証制度の選定や導入支援により、効率的な認証取得を進められるでしょう。
ISMS認証コンサルおすすめ3社
【コスト・対応力・運用重視】
ISMS(ISO27001)認証を取得する企業が増える中で、「自社のリソースが限られている」「取得したはいいが運用が続かない」といった課題を抱える企業は少なくありません。そこで重要になるのが、自社の状況に合ったコンサルティング会社の選定です。
ISMS認証コンサルを活用することで、「専門知識や担当者が不在でも取得を実現」「取得後も運用が続く“使える体制”を構築」といったメリットを得られます。
今回は、こうしたニーズに応えるISMS認証支援会社の中でも、「費用」「対応業種」「実務運用力」という観点に強みを持つ3社をご紹介します。
「まず取得したい」
なら
- 専任不要&月額3.3万円の低コスト
情報セキュリティ担当がいなくても導入可能。人員・予算に限りがある中小・スタートアップ向け。 - 中小企業向けフルアウトソーシング支援
書類作成からプロセス設計まで丸ごと対応。初めての企業でも安心。 - 維持運用しやすい実務重視の設計
最小限の設計で、取得後も1名体制で継続しやすい。
柔軟に対応
してほしいなら
-
現役審査員が直接サポート&訪問無制限
複雑な多拠点対応も、現場に即した導入設計が可能。 -
業種特化・6か月以内の取得も相談可
業界特有の運用にも対応し、スピード重視の企業にもおすすめ。 -
ISO事務局も代行し全工程を一括支援
社内対応の手間を減らし、効率・品質を向上。
運用負担を削減
したいなら
-
書類作成の負担が少ない
提供される書類は全てサンプル付きで、確認・加筆修正を行うだけで活用できるため作業負担を大きく軽減。 -
取得時も取得後も運用の負担が少ない
負担の少ない運用を行うためには、管理すべき(作成すべき)書類は最小限に留めることが重要。 -
取得後は自社で維持、運用が可能
必要最小限な運用が可能なため、自社だけでも準備が容易。