ISMS(ISO27001)規格要求事項
ISMS(ISO27001)を取得するためには、次の要求事項を満たしていることが必須条件となります。一つひとつその内容を簡潔にご紹介していきます。次の10項目を盛り込んで、運用方法や実施するシステムを文書化したマニュアルも作成します。
要求事項で求められていること
ISO27001の要求事項では、企業や組織における ISMSの適切な構築と運用が求められています。同時に重要な位置づけになっているのが、ISMSの運用においてはPDCAサイクルによる改善を実施し、常に情報セキュリティを高めることです。
企業や組織内の情報セキュリティリスクを明確にしたうえで「機密性」「完全性」「可用性」の3要素を確保。どのように情報資産を守ればよいのか、定められた要求事項に沿って「構築・運用・改善」を実施することで、企業や組織内のセキュリティ体制を国際基準を満たしましょう。
ISMS(ISO27001)規格10項目の要求事項
1.適用範囲
企業や組織全体に適用するのか、または人や部署、拠点を絞って情報セキュリティを運用するのかを明確にします。
2.引用規格
企業や組織が適用する規格の、引用元となる文書を記載します。
3.用語及び定義
マニュアルなどで用いる用語について定義します。
4.組織の状況
従業員や、組織の目標・課題といった組織内部の状況のみならず、利害関係者のニーズや課題など組織外部の状況について説明します。組織の状況を把握した上で、適用範囲を決定していることが求められます。
5.リーダーシップ
責任者であるトップマネジメントが責任をもってISMS運用に取り組むこと。また、トップマネジメントが組織の方向性やISMS運営の目的を示し、組織内のみならず、利害関係者に向けて伝達できるよう文書化します。
6.計画
ISMSの達成目標を計画したり、リスクを予想しそれにどのように対応するのかを計画し、基準を策定します。目標達成やリスク対応における、具体的な手順や、そこでかかる費用なども算出し、文書化します。
7.支援
ISMSを推進したり、情報セキュリティを実施するために必要な、人や環境などの資源を明確にし、体制を整えます。ISMSの運営に携わる従業員に対する教育訓練の計画や、内部・外部との情報共有の具体的方法などを文書化して実施し、その内容は資料として保管するとともに文書化した書面は改善・更新して常に適切な状態に保つことも求められます。
8.運用
計画通りにISMSを運用することに加え、運用を通じて問題点や意図しない変更点が生じた場合は、その内容をアセスメントし実施していかなければなりません。
9.パフォーマンス評価
情報セキュリティの管理運営・目標などを達成するための計画に対し、監視・測定・分析及び評価を行います。またその内容をトップマネジメントと共有するためのマネジメントレビューも行います。
10.改善
マネジメントレビューや利害関係者からのフィードバックをインプットし、それを反映させたアウトプットを繰り返すなど、安全性の確保に向けて継続的改善が求められます。
附属書A
附属書Aとは、ISO27001規格におけるISMSの具体的な管理策を記載したものです。
ISO27001要求事項のポイント
ISO27001は、組織が所有している「情報資産」に対するリスクを低減するための仕組みです。要求事項では「機密性」「完全性」「可用性」の3要素を維持するための手順や方法を示しています。しかし、具体的に何から手をつけたらいいのか、どうすればいいのか、イメージがわきづらいという方も多いのではないでしょうか。ここでは、意識するだけでISMSを取得するための体制を構築しやすくなる、3つのポイントを紹介します。
情報セキュリティ目的・情報セキュリティ方針の決定
情報セキュリティ目的とは、情報セキュリティ方針との整合性が取れている、具体的な目標のことを指します。企業や組織が、情報資産を安全に保護するために策定する基本方針や情報セキュリティへの対策、実施手順などをまとめたものです。また、情報セキュリティ方針とは、企業や組織が情報セキュリティをどのように捉え、どのような体制で維持していくかを宣言した公開文書でもあります。
記載される内容としては、企業や組織が保有する情報資産を保護するための基本的な考え方やルール、情報セキュリティを確立するための運用規定などが一般的です。
情報セキュリティのリスクアセスメントの実施
情報セキュリティのリスクアセスメントの実施は、企業や組織が保有する情報資産のリスクを洗い出し、分析、評価をおこなうプロセスを指します。加えて、情報セキュリティリスクへの対応策なども決めていきます。具体的には、特定されたリスクの重大性を分析して評価し、対処すべきかどうかを判断する作業です。リスクの見逃しなどがあれば、有効な情報セキュリティマネジメントシステムの構築が難しくなる可能性もあり、重要な部分とされています。
PDCAサイクルの実施
ISMSにおいてPDCAの考え方が重視される理由は、マネジメントシステムの継続的な改善です。構築した当初は最適なISMSであったとしても、時が経つにつれて新しい技術が生まれたりすることで、マネジメントシステムにも変更の必要性が生じます。さらに、企業や組織のマネジメントや業務プロセスを取り巻くリスクの変化にも対応できるよう対策しなければなりません。
重要なことは、現場を踏まえた仕組みを継続的に運用していくこと。そのためには常にPDCAサイクルを実施し、情報セキュリティを高めていく必要があります。
ISMS規格によって期待される効果
ISMS規格によって、企業や組織の情報資産に対するセキュリティ管理体制が整備されることから、対外的な信頼性の向上が期待できます。さらに、取引条件として提示されるケースも増えているため、売上機会の向上や他社との差別化といった効果も考えられます。
また、情報漏洩やサイバー攻撃の脅威、不正アクセスへの対策強化、事故の発生確率を抑える効果も。社内や組織内での情報取り扱いに関する意識の高まりは、テレワークやリモートワークにおける、適切な情報セキュリティ管理の実現には欠かせない要素となります。
まとめ
対外的な信頼性獲得のツールともなり得るISMS認証ですが、重要なことは継続的な運用であり、適切に機能しなければいけません。そのため、最近ではISMSの構築だけでなく、運用を支援するためにコンサルティングを利用することも、ひとつの方法として認知されるようになってきました。組織内の知識やノウハウでは難しいと判断した際には、専門知識を持つコンサルタントに相談してみるのもひとつの手段です。
ISMS認証コンサル
ISMS認証コンサルを選ぶ際、選ぶポイントは大きく「費用」「対応業種」の2つに分かれます。無駄なコストをかけないためにも、自社の目的に応じたISMSを得意とするコンサルティング会社を選ぶようにしましょう。ここでは2024年1月24日に「ISMS認証コンサル」で検索し表示されたコンサルティング会社のうち、ISMS認証取得のコンサルティングを主業務とする企業の中から、ISMS(ISO27001)の審査通過率が100%で、支援実績数が1,000件以上(調査時点)ある2社をご紹介します。
で選ぶなら

- 業界最安値※13.3万円/月
- 実働不要フルアウトソーシング
- 取得後も負担がない運⽤サポート
で選ぶなら

- 幅広い業種への対応実績
- 企業実態に合わせたISO取得
- 顧客の工数を約80%カット
ISOサポート | ISOプロ | |
---|---|---|
費用 | 月額3.3万円 (税込) |
月額4.4万円 (税込) |
期間 | 通常6か月 | 通常6~7か月 |
支援実績 | 1,450社 | 1,500件超 |
継続率 | 97% | 90.8% |
【選定基準】
※2024年1月24時点、Google検索において「ISMS認証コンサル」と検索して検索結果100位までに表示された企業のうち、ISMS(ISO27001)認証取得コンサルティング業務を行っている会社の中から、ISMS(ISO27001)の審査通過率が100%で、今回の調査時点で支援実績数が1,000以上であることが記載されている企業。