ISMS(ISO27001)規格要求事項
ISMS(ISO27001)を取得するためには、次の要求事項を満たしていることが必須条件となります。一つひとつその内容を簡潔にご紹介していきます。次の10項目を盛り込んで、運用方法や実施するシステムを文書化したマニュアルも作成します。
要求事項で求められていること
ISO27001の要求事項では、企業や組織における ISMSの適切な構築と運用が求められています。同時に重要な位置づけになっているのが、ISMSの運用においてはPDCAサイクルによる改善を実施し、常に情報セキュリティを高めることです。
企業や組織内の情報セキュリティリスクを明確にしたうえで「機密性」「完全性」「可用性」の3要素を確保。どのように情報資産を守ればよいのか、定められた要求事項に沿って「構築・運用・改善」を実施することで、企業や組織内のセキュリティ体制を国際基準を満たしましょう。
ISMS(ISO27001)規格10項目の要求事項
1.適用範囲
企業や組織全体に適用するのか、または人や部署、拠点を絞って情報セキュリティを運用するのかを明確にします。
2.引用規格
企業や組織が適用する規格の、引用元となる文書を記載します。
3.用語及び定義
マニュアルなどで用いる用語について定義します。
4.組織の状況
従業員や、組織の目標・課題といった組織内部の状況のみならず、利害関係者のニーズや課題など組織外部の状況について説明します。組織の状況を把握した上で、適用範囲を決定していることが求められます。
5.リーダーシップ
責任者であるトップマネジメントが責任をもってISMS運用に取り組むこと。また、トップマネジメントが組織の方向性やISMS運営の目的を示し、組織内のみならず、利害関係者に向けて伝達できるよう文書化します。
6.計画
ISMSの達成目標を計画したり、リスクを予想しそれにどのように対応するのかを計画し、基準を策定します。目標達成やリスク対応における、具体的な手順や、そこでかかる費用なども算出し、文書化します。
7.支援
ISMSを推進したり、情報セキュリティを実施するために必要な、人や環境などの資源を明確にし、体制を整えます。ISMSの運営に携わる従業員に対する教育訓練の計画や、内部・外部との情報共有の具体的方法などを文書化して実施し、その内容は資料として保管するとともに文書化した書面は改善・更新して常に適切な状態に保つことも求められます。
8.運用
計画通りにISMSを運用することに加え、運用を通じて問題点や意図しない変更点が生じた場合は、その内容をアセスメントし実施していかなければなりません。
9.パフォーマンス評価
情報セキュリティの管理運営・目標などを達成するための計画に対し、監視・測定・分析及び評価を行います。またその内容をトップマネジメントと共有するためのマネジメントレビューも行います。
10.改善
マネジメントレビューや利害関係者からのフィードバックをインプットし、それを反映させたアウトプットを繰り返すなど、安全性の確保に向けて継続的改善が求められます。
附属書A
附属書Aとは、ISO27001規格におけるISMSの具体的な管理策を記載したものです。
ISO27001要求事項のポイント
ISO27001は、組織が所有している「情報資産」に対するリスクを低減するための仕組みです。要求事項では「機密性」「完全性」「可用性」の3要素を維持するための手順や方法を示しています。しかし、具体的に何から手をつけたらいいのか、どうすればいいのか、イメージがわきづらいという方も多いのではないでしょうか。ここでは、意識するだけでISMSを取得するための体制を構築しやすくなる、3つのポイントを紹介します。
情報セキュリティ目的・情報セキュリティ方針の決定
情報セキュリティ目的とは、情報セキュリティ方針との整合性が取れている、具体的な目標のことを指します。企業や組織が、情報資産を安全に保護するために策定する基本方針や情報セキュリティへの対策、実施手順などをまとめたものです。また、情報セキュリティ方針とは、企業や組織が情報セキュリティをどのように捉え、どのような体制で維持していくかを宣言した公開文書でもあります。
記載される内容としては、企業や組織が保有する情報資産を保護するための基本的な考え方やルール、情報セキュリティを確立するための運用規定などが一般的です。
情報セキュリティのリスクアセスメントの実施
情報セキュリティのリスクアセスメントの実施は、企業や組織が保有する情報資産のリスクを洗い出し、分析、評価をおこなうプロセスを指します。加えて、情報セキュリティリスクへの対応策なども決めていきます。具体的には、特定されたリスクの重大性を分析して評価し、対処すべきかどうかを判断する作業です。リスクの見逃しなどがあれば、有効な情報セキュリティマネジメントシステムの構築が難しくなる可能性もあり、重要な部分とされています。
PDCAサイクルの実施
ISMSにおいてPDCAの考え方が重視される理由は、マネジメントシステムの継続的な改善です。構築した当初は最適なISMSであったとしても、時が経つにつれて新しい技術が生まれたりすることで、マネジメントシステムにも変更の必要性が生じます。さらに、企業や組織のマネジメントや業務プロセスを取り巻くリスクの変化にも対応できるよう対策しなければなりません。
重要なことは、現場を踏まえた仕組みを継続的に運用していくこと。そのためには常にPDCAサイクルを実施し、情報セキュリティを高めていく必要があります。
ISMS規格によって期待される効果
ISMS規格によって、企業や組織の情報資産に対するセキュリティ管理体制が整備されることから、対外的な信頼性の向上が期待できます。さらに、取引条件として提示されるケースも増えているため、売上機会の向上や他社との差別化といった効果も考えられます。
また、情報漏洩やサイバー攻撃の脅威、不正アクセスへの対策強化、事故の発生確率を抑える効果も。社内や組織内での情報取り扱いに関する意識の高まりは、テレワークやリモートワークにおける、適切な情報セキュリティ管理の実現には欠かせない要素となります。
まとめ
対外的な信頼性獲得のツールともなり得るISMS認証ですが、重要なことは継続的な運用であり、適切に機能しなければいけません。そのため、最近ではISMSの構築だけでなく、運用を支援するためにコンサルティングを利用することも、ひとつの方法として認知されるようになってきました。組織内の知識やノウハウでは難しいと判断した際には、専門知識を持つコンサルタントに相談してみるのもひとつの手段です。
ISMS認証コンサルおすすめ3社
【コスト・対応力・運用重視】
ISMS(ISO27001)認証を取得する企業が増える中で、「自社のリソースが限られている」「取得したはいいが運用が続かない」といった課題を抱える企業は少なくありません。そこで重要になるのが、自社の状況に合ったコンサルティング会社の選定です。
ISMS認証コンサルを活用することで、「専門知識や担当者が不在でも取得を実現」「取得後も運用が続く“使える体制”を構築」といったメリットを得られます。
今回は、こうしたニーズに応えるISMS認証支援会社の中でも、「費用」「対応業種」「実務運用力」という観点に強みを持つ3社をご紹介します。
「まず取得したい」
なら
- 専任不要&月額3.3万円の低コスト
情報セキュリティ担当がいなくても導入可能。人員・予算に限りがある中小・スタートアップ向け。 - 中小企業向けフルアウトソーシング支援
書類作成からプロセス設計まで丸ごと対応。初めての企業でも安心。 - 維持運用しやすい実務重視の設計
最小限の設計で、取得後も1名体制で継続しやすい。
柔軟に対応
してほしいなら
-
現役審査員が直接サポート&訪問無制限
複雑な多拠点対応も、現場に即した導入設計が可能。 -
業種特化・6か月以内の取得も相談可
業界特有の運用にも対応し、スピード重視の企業にもおすすめ。 -
ISO事務局も代行し全工程を一括支援
社内対応の手間を減らし、効率・品質を向上。
運用負担を削減
したいなら
-
書類作成の負担が少ない
提供される書類は全てサンプル付きで、確認・加筆修正を行うだけで活用できるため作業負担を大きく軽減。 -
取得時も取得後も運用の負担が少ない
負担の少ない運用を行うためには、管理すべき(作成すべき)書類は最小限に留めることが重要。 -
取得後は自社で維持、運用が可能
必要最小限な運用が可能なため、自社だけでも準備が容易。