ISMSの認証(ISO/IEC 27001)を取得するには?ISMS導入までにやるべきことを解説
はじめに
ISMSの国際規格であるISO/IEC 27001を取得すると、「その組織の情報セキュリティ管理は、国際基準の規格に則っている」と見なされ、組織の信頼性が向上します。しかしISMS認証の取得は容易ではなく、従業員や関係者全員の協力がないとできません。この記事では、ISMS認証とはなにか、導入までにやるべきことを簡単に解説します。
ISMS認証、ISMS適合性評価制度とは
改めてISMSとISMS認証、ISMS適合性評価制度についてご紹介します。
ISMS(Information Security Management System/情報セキュリティマネジメントシステム)は、情報資産をトラブルなく正しく管理するための仕組みです。情報管理のためには、情報セキュリティの3要素である「機密性」「完全性」「可用性」を維持する必要があります。
機密性:許可されたものだけが情報資産にアクセスできること
完全性:情報資産が不当に変更されることがないよう、完全にしておくこと
可用性:情報資産を、必要なときに使えるようにしておくこと
ISMSでは、この情報セキュリティの3要素を維持する仕組みを持ち、運用することとなります。
ISMS認証は、第三者であるISMS認証機関の観点で、組織のISMSが適切に運用されているかを審査し、証明することです。ISMS認証を受けると、ISMSの国際規格である「ISO/IEC 27001」に沿って情報セキュリティの仕組みを維持し改善を続けていることが示されます。
ISMS適合性評価制度はISMS認証の制度です。制度の運営は「一般社団法人情報 マネジメントシステム認定センター(略称:ISMS-AC)」が行っています。
※ISMSの国際基準はほかにクラウドサービスの管理に関するISO/IEC 27017や、プライバシー情報マネジメントシステムISO/IEC 27701がありますが、この記事ではISO/IEC 27001に関する情報を記載しています。
ISMSとは
ISMS(Information Security Management System/情報セキュリティマネジメントシステム)は、情報資産をトラブルなく正しく管理するための仕組みです。情報管理のためには、情報セキュリティの3要素である「機密性」「完全性」「可用性」を維持する必要があります。
機密性:許可されたものだけが情報資産にアクセスできること
完全性:情報資産が不当に変更されることがないよう、完全にしておくこと
可用性:情報資産を、必要なときに使えるようにしておくこと
ISMSでは、この情報セキュリティの3要素を維持する仕組みを持ち、運用することとなります。
ISMS認証・ISMS適合性評価制度とは
ISMS認証は、第三者であるISMS認証機関の観点で、組織のISMSが適切に運用されているかを審査し、証明することです。ISMS認証を受けると、ISMSの国際規格である「ISO/IEC 27001」に沿って情報セキュリティの仕組みを維持し改善を続けていることが示されます。
ISMS適合性評価制度はISMS認証の制度です。制度の運営は「一般社団法人情報 マネジメントシステム認定センター(略称:ISMS-AC)」が行っています。
※ISMSの国際基準はほかにクラウドサービスの管理に関するISO/IEC 27017や、プライバシー情報マネジメントシステムISO/IEC 27701がありますが、この記事ではISO/IEC 27001に関する情報を記載しています。
ISMS認証を取得するメリット
ISMS認証を取得するメリットは、大きく分けて3つあります。
顧客や取引先からの信頼性の向上
ISMS認証を取得していると、客観的に「情報セキュリティに関する要件を満たしている」と見なされ、その企業の信頼性が向上します。見込み顧客がその企業の情報管理に関して調査する際には、その企業や関係部署がISMS認証を取得しているかが目安のひとつとなります。
社内のセキュリティリテラシー向上
ISMS認証の取得・更新のためには、従業員・関係者全員が当事者意識を持ち続けることが必要です。情報セキュリティの方針の浸透や改革、関係者に対する教育の継続的な実施で、社内のセキュリティリテラシー向上という良い循環が生まれるでしょう。
サイバー攻撃のリスク軽減
ISMS認証は情報セキュリティのレベルを示すものではありませんが、ISMSで情報セキュリティの管理や改善を行うことで、サイバー攻撃のリスクを減らすことに繋がります。
ISMS認証の取得までに必要な対応
ISMS認証取得までは、主に下記のような対応が必要となります。
ISMS認証の準備として最初に行うことは、適用範囲の決定です。ISMS認証は、組織全体でも取得でき、必要としている一部の部署だけでの取得も可能です。
情報セキュリティポリシーは、情報の機密性・完全性・可用性を維持するために規定する、組織の方針や行動指針です。ISMS認証の要件を満たすよう、情報セキュリティポリシーの作成・あるいは改定を行います。
ISMS認証にあたって、情報セキュリティ管理者や内部監査を実施する内部監査員、経営層など、必要な人員をアサインして運用チームを決定します。
ISMS認証のためには、情報セキュリティの基本方針だけでなく、管理規定やマニュアルを作成します。ほかにも必要な文書の作成はこの後のフェーズと並行して行うことになります。
リスクアセスメントとは、組織内の情報セキュリティリスクを洗い出し、対応策を検討することです。作業の大まかな流れとしては、保護する情報資産に対して、機密性・完全性・可用性を崩す「脅威」となるものや、システム上の脆弱性などを洗い出します。その後、それらの事項がインシデントを起こした場合にどれほどのリスクがあるか、その度合いを算定して、リスク対応の優先順位を決定。その優先順位を元に、リスクへの対策がなされることとなります。
従業員・関係者全員へ、セキュリティ教育を実施します。単に資料を配るだけでなく、研修やペーパーテストなどで、従業員に理解を深めてもらい、同時に周知度の度合いを測定します。
適用宣言書を作成し、ISMSを実施します。
ISMS運用が始まった後は、認証機関から認証を受けるための準備を行います。認証機関の審査を受ける前に内部監査員が、管理規定通りに運用ができているか、マニュアルの手順が守られているかなどを確認します。
内部監査の実施後、経営層に結果を報告します。経営層のレビューの結果、不備があった場合には改善を行います。
マネジメントレビューの完了後、認証機関による審査を受けることになります。認証機関は27の機関の中から選び、申し込みを行います(※2023年11月時点)。
参考:ISMS認証機関一覧
https://isms.jp/lst/isr/
審査は原則として第一段階審査と第二段階審査の2段階受けることになります。第一段階審査は組織のISMS基本方針や目的、ISMSの準備状況を確認することが目的です。第二段階審査で、方針に基づいた運用がなされているかの確認を受けます。
以上の審査が問題なければ、ISMS認証取得までの作業は完了です。取得後は通常、1年ごとに運用状況を確認するサーベイランス審査が、3年ごとに再認証審査が行われます。
1.適用範囲の決定
ISMS認証の準備として最初に行うことは、適用範囲の決定です。ISMS認証は、組織全体でも取得でき、必要としている一部の部署だけでの取得も可能です。
2.情報セキュリティポリシーの決定
情報セキュリティポリシーは、情報の機密性・完全性・可用性を維持するために規定する、組織の方針や行動指針です。ISMS認証の要件を満たすよう、情報セキュリティポリシーの作成・あるいは改定を行います。
3.運用チームの決定
ISMS認証にあたって、情報セキュリティ管理者や内部監査を実施する内部監査員、経営層など、必要な人員をアサインして運用チームを決定します。
4.ISMS文書の作成
ISMS認証のためには、情報セキュリティの基本方針だけでなく、管理規定やマニュアルを作成します。ほかにも必要な文書の作成はこの後のフェーズと並行して行うことになります。
5.リスクアセスメントの実施
リスクアセスメントとは、組織内の情報セキュリティリスクを洗い出し、対応策を検討することです。作業の大まかな流れとしては、保護する情報資産に対して、機密性・完全性・可用性を崩す「脅威」となるものや、システム上の脆弱性などを洗い出します。その後、それらの事項がインシデントを起こした場合にどれほどのリスクがあるか、その度合いを算定して、リスク対応の優先順位を決定。その優先順位を元に、リスクへの対策がなされることとなります。
 | 参考コラム:サイバーセキュリティのリスクアセスメントとは?意味や進め方を紹介 |
6.セキュリティ教育の実施
従業員・関係者全員へ、セキュリティ教育を実施します。単に資料を配るだけでなく、研修やペーパーテストなどで、従業員に理解を深めてもらい、同時に周知度の度合いを測定します。
| 参考コラム:セキュリティ教育とは?従業員のセキュリティリテラシーを高める方法 |
7.ISMSの運用を開始
適用宣言書を作成し、ISMSを実施します。
8.内部監査・改善
ISMS運用が始まった後は、認証機関から認証を受けるための準備を行います。認証機関の審査を受ける前に内部監査員が、管理規定通りに運用ができているか、マニュアルの手順が守られているかなどを確認します。
9.マネジメントレビュー
内部監査の実施後、経営層に結果を報告します。経営層のレビューの結果、不備があった場合には改善を行います。
10.認証機関による審査の実施
マネジメントレビューの完了後、認証機関による審査を受けることになります。認証機関は27の機関の中から選び、申し込みを行います(※2023年11月時点)。
参考:ISMS認証機関一覧
https://isms.jp/lst/isr/
審査は原則として第一段階審査と第二段階審査の2段階受けることになります。第一段階審査は組織のISMS基本方針や目的、ISMSの準備状況を確認することが目的です。第二段階審査で、方針に基づいた運用がなされているかの確認を受けます。
以上の審査が問題なければ、ISMS認証取得までの作業は完了です。取得後は通常、1年ごとに運用状況を確認するサーベイランス審査が、3年ごとに再認証審査が行われます。
ISMS認証取得の課題
ISMS認証取得にあたっての課題もあります。
ISMS認証取得は、平均して6カ月~1年と長期的な取り組みとなりがちです。特に初めての認証や、ISMSの構築を自社だけで行う場合には、より時間がかかるでしょう。
またISO/IEC 27001の有効期限は3年です。ISMS認証を更新するためには、3~4か月前に再認証審査を実施することとなります。
ISMSの構築や認証のための文書作成などには、専門的な知識やノウハウが必要です。専門家不在で方針やルール作りを進めると、逆にルールを作りすぎ、業務に影響する恐れもあります。もし社内に適した人材がいない場合には、ISMS認証コンサルタントに依頼するのもひとつの方法です。
長期的な取り組みになる
ISMS認証取得は、平均して6カ月~1年と長期的な取り組みとなりがちです。特に初めての認証や、ISMSの構築を自社だけで行う場合には、より時間がかかるでしょう。
またISO/IEC 27001の有効期限は3年です。ISMS認証を更新するためには、3~4か月前に再認証審査を実施することとなります。
専門的知識が必要
ISMSの構築や認証のための文書作成などには、専門的な知識やノウハウが必要です。専門家不在で方針やルール作りを進めると、逆にルールを作りすぎ、業務に影響する恐れもあります。もし社内に適した人材がいない場合には、ISMS認証コンサルタントに依頼するのもひとつの方法です。
ISMS認証の導入~運用はアクセリアへご相談ください
アクセリアでは、お客様のサイバーセキュリティの課題に沿ったセキュリティサービスをご提案しています。ISMSについても、経験十分なISMS認証コンサルタントと連携し、ISMS認証取得・運用支援を行っています。
ISMS認証の取得を目指している方はぜひ、アクセリアにご相談ください。
▶お問い合わせはこちらから
ISMS認証の取得を目指している方はぜひ、アクセリアにご相談ください。
▶お問い合わせはこちらから
まとめ
ISMS認証の取得は、企業の信頼性、セキュリティレベルの向上などさまざまなメリットがあります。運用には、ISMS認証の要件を満たしつつ不要な部分はできるだけ削除するルール作りが必要です。自社のみの対応が難しい場合には、専門家と相談し着実に取得準備を進めていきましょう。
アクセリア株式会社
サービス事業部
Contact usお問い合わせ
サービスにご興味をお持ちの方は
お気軽にお問い合わせください。
Webからお問い合わせ
お問い合わせお電話からお問い合わせ
03-5211-7750
平日09:30 〜 18:00
Free Service