情報セキュリティマネジメントシステムの国際認証 規格 である ISO27001 は、IT化が急速に進む現代では重要視されるマネジメントシステム認証の一つです。しかし、マネジメントシステム規格というものは、いささか最初は理解に苦しむもので、「上から ISO 27001を取れと言われたけど、何がなんだかわからない」と考えている方も多いのではないでしょうか。

ということで、今回は初めての方でも理解しやすいように、ISO27001とは何なのか、またよく比較されるPマークとはどのような違いがあるのかということについて解説していきたいと思います。

ISO27001とは

ISO27001とは、組織が情報の三大要素(可用性機密性完全性 )をバランスよく維持し、情報の漏洩やサイバー攻撃から顧客情報や機密情報を守る「情報セキュリティマネジメントシステム( ISMS )」を構築します。効率的に運用していくための国際認証規格です。

ーーと体感的な説明をしてもピンと来ない方も多いと思いますので、もう少し噛み砕いて解説していきましょう。

ISO27001を分かりやすく

ISO27001は、分かりやすく一言で言ってしまえば、情報セキュリティマネジメントシステムのフレームワークです。

どのような情報リスクがあり、そのリスクに対してどのような対策を行うのかを計画。実行し、上手く機能していない場合は改善する…そんな組織の仕組みのことを「情報セキュリティマネジメントシステム」と言いますが、ISO27001は、このシステムを構築するための一つの枠組みなのです。

つまり、ISO27001は情報セキュリティの教科書のようなものです。教科書に沿って情報セキュリティマネジメントシステムを構築し、第三者によって「あなたの組織の情報セキュリティマネジメントシステムは、確かにこの教科書に沿って構築されていますね。」ということが認められた場合に、ISO27001の認証が与えられることになるのです。

ここまで読んでいただいて、「そんなこと言ったって、組織の人員や状況って違うし、教科書通りの机上の空論でセキュリティって保てるの?」と感じた方もいらっしゃるかもしれません。ーー確かにその通りで、ISO27001が要求するマネジメントシステムが必ずしも理想的なものであるとは言えないでしょう。しかしISOのマネジメントシステム認証規格は「どのような業態、組織であっても、この通りに構築すればだいたいOK」と言えるようによく考えられて構築されています。

世界中から多くの有識者によって策定された情報セキュリティマネジメントシステムの教科書と、経験と勘によって構築されたマネジメントシステムでは、おそらく前者のほうが有効に機能することが大半であると言えるでしょう。このため、ISO27001は世界中の企業で取得されているのです。

関連記事:【初心者向け】ISO27001とは?取得メリットや手順・費用について解説
累計ダウンロード5,000件突破!ISO27001丸わかり説明資料

なぜ情報セキュリティマネジメントシステムが必要なのか

まず、組織が情報漏洩やサイバー攻撃といった情報セキュリティ上のリスクから自社が保有する情報を守るためには、何が必要でしょうか? おそらく多くの方は、以下のような回答をするのではないでしょうか?

  • セキュリティ面に配慮したプログラム
  • 物理的なセキュリティ対策
  • 各従業員の情報リテラシーの向上

こういったものはセキュリティ水準を高めるために必須であります。

しかし、サイバー攻撃は従業員のリテラシーが高ければ防げるでしょうか? あるいは、情報漏洩は完璧にサイバー攻撃に対して対策を行っていれば、防げるでしょうか? 答えはNoです。ーーかといって、組織には予算というものがありますから、何でもかんでもセキュリティ対策に経費を回していては、組織が成り立たなくなってしまいます。

そこで登場するのが情報セキュリティマネジメントシステムです。情報セキュリティマネジメントシステムでは、どのようなリスクがあり、そのリスクがどれくらいの頻度で発生するのか。またインシデントが発生した際にどれくらいの影響があるのかということを分析し、「どのように対策をしていくのか(あるいは、リスクを受け入れるのか)」ということを決定していく仕組みです。また、リスク対策の計画を実行、モニタリングし、検証していくためのフレームワークでもあります。

組織は、マネジメントシステムを構築することで、リスクを論理的な根拠を元に取捨選択していき、必要な対策を行い、その対策が上手く言っているのかということをロジカルに判断することができるようになるのです。ーーつまり、多くの日本企業が長年行ってきた「経験と勘による経営」から脱却するために、マネジメントシステムというツールを利用するのです。

Pマークとは何が違う?

同じ情報セキュリティマネジメントシステムの認証規格として、日本ではPマークというものが有名です。PマークとISO27001は、同じISMS認証規格であるものの、その情報の対象が異なります。Pマークは個人情報に限定された規格であり、ISO27001を土台に構築されたものです。一方でISO27001は個人情報に限らず幅広い意味での「情報資産」を守るマネジメントシステム規格です。

この他にもISMSの適用範囲の違いや細かな違いはありますが、Pマークは個人情報保護法という日本の法令を意識したISMS規格であり、ISO27001は企業の自主的なセキュリティ対策に重きをおいた規格であると認識しておくと良いでしょう。

累計ダウンロード5,000件突破!ISO27001丸わかり説明資料
  • 無料資料 | ISO27001・Pマーク導入 徹底解説
  • 『ISO27001・Pマークを網羅的に分かりやすく』をコンセプトに、ISOコンサルタント監修のもとISO27001・Pマークについて図解などを交え詳細に解説しています。分かりやすいというお声も多くいただいていますので、ぜひ御社でご活用ください。
  • 必須ご担当者様名
  • 必須電話番号
  • 任意会社名
  • 任意メールアドレス
  • 必須個人情報の取り扱い
    (個人情報保護方針を読む)

ISOプロでは月額4万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。

サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。

ISO27001、40,000円/月から作業工数ほぼ0実現!ISO新規取得・運用完全サポートならISOプロ