【初心者必見】ISO27001について優しく解説します

著者:ISOプロ担当者
投稿日:
更新日:2020年03月30日

情報セキュリティマネジメントシステムの国際認証 規格であるISO27001は、IT化が急速に進む現代では重要視されるマネジメントシステム認証の一つです。しかし、マネジメントシステム規格というものは、いささか最初は理解に苦しむもので、「上からISO27001を取れと言われたけど、何がなんだかわからない」と考えている方も多いのではないでしょうか。

ということで、今回は初めての方でも理解しやすいように、ISO27001とは何なのか、またよく比較されるPマークとはどのような違いがあるのかということについて解説していきたいと思います。

ISO27001とは

ISO27001とは、組織が情報の三大要素(可用性機密性完全性 )をバランスよく維持し、情報の漏洩やサイバー攻撃から顧客情報や機密情報を守る「情報セキュリティマネジメントシステム(ISMS)」を構築します。効率的に運用していくための国際認証規格です。

ーーと体感的な説明をしてもピンと来ない方も多いと思いますので、もう少し噛み砕いて解説していきましょう。

ISO27001を分かりやすく

ISO27001は、分かりやすく一言で言ってしまえば、情報セキュリティマネジメントシステムのフレームワークです。

どのような情報リスクがあり、そのリスクに対してどのような対策を行うのかを計画。実行し、上手く機能していない場合は改善する…そんな組織の仕組みのことを「情報セキュリティマネジメントシステム」と言いますが、ISO27001は、このシステムを構築するための一つの枠組みなのです。

つまり、ISO27001は情報セキュリティの教科書のようなものです。教科書に沿って情報セキュリティマネジメントシステムを構築し、第三者によって「あなたの組織の情報セキュリティマネジメントシステムは、確かにこの教科書に沿って構築されていますね。」ということが認められた場合に、ISO27001の認証が与えられることになるのです。

ここまで読んでいただいて、「そんなこと言ったって、組織の人員や状況って違うし、教科書通りの机上の空論でセキュリティって保てるの?」と感じた方もいらっしゃるかもしれません。ーー確かにその通りで、ISO27001が要求するマネジメントシステムが必ずしも理想的なものであるとは言えないでしょう。しかしISOのマネジメントシステム認証規格は「どのような業態、組織であっても、この通りに構築すればだいたいOK」と言えるようによく考えられて構築されています。

世界中から多くの有識者によって策定された情報セキュリティマネジメントシステムの教科書と、経験と勘によって構築されたマネジメントシステムでは、おそらく前者のほうが有効に機能することが大半であると言えるでしょう。このため、ISO27001は世界中の企業で取得されているのです。

なぜ情報セキュリティマネジメントシステムが必要なのか

まず、組織が情報漏洩やサイバー攻撃といった情報セキュリティ上のリスクから自社が保有する情報を守るためには、何が必要でしょうか? おそらく多くの方は、以下のような回答をするのではないでしょうか?

  • セキュリティ面に配慮したプログラム
  • 物理的なセキュリティ対策
  • 各従業員の情報リテラシーの向上

こういったものはセキュリティ水準を高めるために必須であります。

しかし、サイバー攻撃は従業員のリテラシーが高ければ防げるでしょうか? あるいは、情報漏洩は完璧にサイバー攻撃に対して対策を行っていれば、防げるでしょうか? 答えはNoです。ーーかといって、組織には予算というものがありますから、何でもかんでもセキュリティ対策に経費を回していては、組織が成り立たなくなってしまいます。

そこで登場するのが情報セキュリティマネジメントシステムです。情報セキュリティマネジメントシステムでは、どのようなリスクがあり、そのリスクがどれくらいの頻度で発生するのか。またインシデントが発生した際にどれくらいの影響があるのかということを分析し、「どのように対策をしていくのか(あるいは、リスクを受け入れるのか)」ということを決定していく仕組みです。また、リスク対策の計画を実行、モニタリングし、検証していくためのフレームワークでもあります。

組織は、マネジメントシステムを構築することで、リスクを論理的な根拠を元に取捨選択していき、必要な対策を行い、その対策が上手く言っているのかということをロジカルに判断することができるようになるのです。ーーつまり、多くの日本企業が長年行ってきた「経験と勘による経営」から脱却するために、マネジメントシステムというツールを利用するのです。

Pマークとは何が違う?

同じ情報セキュリティマネジメントシステムの認証規格として、日本ではPマークというものが有名です。PマークとISO27001は、同じISMS認証規格であるものの、その情報の対象が異なります。Pマークは個人情報に限定された規格であり、ISO27001を土台に構築されたものです。一方でISO27001は個人情報に限らず幅広い意味での「情報資産」を守るマネジメントシステム規格です。

この他にもISMSの適用範囲の違いや細かな違いはありますが、Pマークは個人情報保護法という日本の法令を意識したISMS規格であり、ISO27001は企業の自主的なセキュリティ対策に重きをおいた規格であると認識しておくと良いでしょう。

ISOプロでは月額4万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。

ISO27001入門

【ISO27001入門】規格の詳細から要求事項・取得のノウハ…

ISO取得・運用ガイド

ISOを初めて取得する方や運用中の方のお悩みを基礎知識から実際の取得・構築・運用・継続や更新についてステップ形式で解説していきます。気になる費用などの情報も満載です。

こんな方に読んでほしい

  • ISOを初めて取得する方
  • すでにISO運用中の方

自社取得、自社運用、アウトソーシングをするための基礎知識や流れをご説明します。

インタビュー

自社リソースはお客様のために!ISO取得のアウトソーシングという選択

ISOプロ講座 HACCPプロ講座 HACCPセミナー マンガで分かるISOプロ お電話での問い合わせ コンサルタント募集
WEB相談