知っておきたい情報セキュリティのISO27001とISMSの違い
情報が企業戦略において価値を持つIT時代。情報セキュリティマネジメントシステム(ISMS)は、企業や組織のセキュリティ水準を高めるツールとして注目を集めています。当サイトISOプロでも、ISO27001やISMSに関するお問い合わせを多数いただいておりますが、その中でも「ISO27001とISMSって何が違うの?」といった内容の質問を多くいただきます。また、ISO27001とISMSについて、間違った知識をお持ちの方もいらっしゃるようです。
ということで、今回は、多くの人が誤解をしているISO27001とISMSの違いについて、分かりやすく解説していきたいと思います。
ISMSとISO27001の違い
先に結論から述べましょう。
ISMSとISO27001は、マネジメントシステムとマネジメントシステム規格という関係にあります。つまり、根本的にフィールドが異なるのです。ISO27001という規格に則って構築されたものをISMSと言いますが、ISO27001に則っていないからといってISMSと呼べないわけではありません。
この違いについて理解するためには、ISMSとISO27001がどのようなものかということについておさらいする必要がありますので、以下では改めてISMSとISO27001について解説していきたいと思います。
ISMSとは?
ISMSとは、情報セキュリティマネジメントシステムの略称で、組織の情報を保護するために有効なマネジメントシステムのことを指します。マネジメントシステムとは、組織を運営していくための仕組みのことを指します。
もう少し具体的に述べると、「どこかから情報が漏洩するかもしれない」というリスクを事前に察知して(あるいは、問題が発生してからでも良いですが…)そのリスクに対してどのような対策を組織的に行うかを決定、その対策がうまくいったかどうかということを検証し、そして検証結果をもとにリスクへの対処方法を改善していく…そんな組織の意思決定のためのツールがISMSです。
ISO27001とは?
ISO27001とは、国際標準化機構(ISO)が策定した、ISMSの認証規格のことです。ISO27001そのものは、ISMSではありません。認証規格とは、「こういう基準を満たすマネジメントシステムを構築してね」ということをまとめたものであり、この基準を満たすマネジメントシステムに対しては、ISO27001認証というものが与えられます。
つまり、ISO27001はISMSを構築するためのガイドラインのようなものです。ISMSはマネジメントシステムでありますから、雲のように形を変えます。「うちの従業員は優秀だから、個人の力量に任せる」という方針を決定したのであれば、それもマネジメントシステムだと言えるでしょう。ーーしかし、そのようなマネジメントシステムはISO27001の基準を満たしません。
ISO27001は、その雲のようなマネジメントシステムをある程度矯正するようなものだと考えていただければ良いでしょう。
改めてISMSとISO27001の違いとは
さて、まとめると、ISMSとISO27001は、マネジメントシステムか、それを構築するためのガイドラインかーーという違いがあります。
もう少し身近な例にすると、「遊び」と「スポーツ」の違いと似ています。野球ボールとグローブとバットを与えられた少年たちは、野球というルールに従って遊ぶこともできますし、バットを投げてボールで打つという自由な発想で遊ぶこともできます。
野球というルールに従って遊べば、第三者から見て「これは野球である」と認めてもらうことができますが、野球というルールに則っていなければ「野球ではない」と言われてしまうかもしれません。そして、野球のルールにも様々な規格があります。オリンピックルールに基づいていればオリンピック競技として行うことができますし、パ・リーグにはパ・リーグのルールが、セ・リーグにはセ・リーグのルールがあります。
今一度ISMSの話に戻すと、ISO27001規格に則っていないISMSは「ボールとバットとグローブを使った遊び」です。その遊びが野球より優れていることもあるかもしれませんが、劣っているかもしれません。これは遊んでいる本人たちにしか分からないでしょう。一方で「野球」というルールは、ISO27001というマネジメントシステム規格のようなものです。万人が楽しめるように緻密に構築されたルールは、多くの人に認められる優れた遊びでもあります。そして、第三者からも「これはスポーツである」と認めてもらうこともできるのです。
ISOプロでは月額4万円から御社に合わせたISO運用を実施中
ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。
また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。
こんな方に読んでほしい