ISO に続き、企業に求められるISMS 認証というものを聞いたことがあるという方は多いでしょう。

しかし、情報セキュリティに関する認証であるという情報だけで、「実際はどのような認証であり、どういったことが求められているのか?」分からない方がほとんどだと思われます。

では、ISMS認証を取得することで、企業にどのようなメリットがあるのでしょうか。ここでは、ISMSに関する概要や要件などについて、詳しく解説いたします。

目次

ISMS(情報セキュリティマネジメントシステム)とは

ISMSのアウトライン
ISMSとは、「情報セキュリティマネジメントシステム」の略称です。近年のITの発達により、企業はオンライン上やシステム上にデータとしてさまざまな情報を保持しています。

しかし、技術の発展に伴って、悪意のある第三者からの不正アクセスや、コンピューターウイルスなどの被害、そして内部からの不正行為者や出入り業者によって、大切なデータを漏えいしてしまう事件が後を絶ちません。情報を漏えいしてしまうと、社内の機密データが流出するだけではなく、企業における社会的な信用失墜のリスクなどに晒されることになるでしょう。

企業はISMSにより、これら情報セキュリティに関する脅威 に対してリスクアセスメントを行い、企業全体として十分な情報セキュリティシステムを構築する必要があるのです。
ISMSとは、脅威に対する個別の対処だけでなく、組織全体のマネジメントの一つとして、リスクアセスメントによるセキュリティレベル決定、プランを作り、企業資源の配分によってシステムを運営することを言います。

ISMSでは、リスクマネジメント プロセスを有効に活用することで、自社内の情報の機密性完全性 、そして可用性を維持・改善し、利害関係者 に対してリスクを適切に管理していることが求められています。

関連記事:【初心者向け】ISMSとは?規格やISOとの違いを徹底解説
累計ダウンロード5,000件突破!ISO27001丸わかり説明資料

情報セキュリティの三要件とは

情報セキュリティにおける、最も重要かつ基本的な事項として、次の「三要件」があります。

機密性

機密性とは、簡単に言うとアクセス制限のことです。「ある情報へのアクセスに関して、特定の人だけが許可されているのか?」という意味になります。社内や外部など、誰もがその情報に対してアクセスできる状態であると、機密性は低いと言えるでしょう。

完全性

「保存されている情報が、常に正確な状態を維持しているか?」ということを示します。常に適切に管理されており、情報の正確さが求められています。保存された情報が間違っていると、その情報の意味がなくなってしまうのです。

可用性

「その情報が、いつでも使える状態にあるか?」ということを示しています。どれだけ重要なデータであっても、誰も使えないような状態では、そのデータを保有している意味がありません。業務にも支障をきたすことでしょう。

このように、「機密性」「完全性」「可用性」の3つが情報セキュリティにおける三要件であり、ISMS認証を取得するためには、これらがバランスよく確保されている状態であることが求められています。

関連記事:情報セキュリティの三大要素「可用性」「機密性」「完全性」について

ISMSの国際規格

ISMS認証には、国際規格があります。単に、情報セキュリティに対して対策をとるだけであれば、認証を受けなくても構いません。しかし、顧客などに対して適切に情報セキュリティ対策していることを証明するには、国際規格の認証が一つの証明方法といえるでしょう。

ISMSでは、主にISO27001 と呼ばれる国際規格があります。国際標準化機構(ISO)と国際電気標準会議(IEC)が作成している規格です。一言でISMSといっても、具体的にどのように対策すればいいのか分からないという方が、非常に多くいらっしゃいます。
そのような場合でも、国際規格に示している手順や方法に沿って構築していくことで、情報セキュリティ対策をしていくことができるでしょう。

そして、ISMS認証機関と呼ばれる機関に、規格に沿って構築されているかどうかを審査してもらうことで、ISMS認証を取得することができるのです。
ちなみに、日本にはISO27001を日本語訳したJIS Q 27001というものが存在しているのですが、実質的には同じものとなっています。

なお、国際規格であるISO27001については、より詳細な情報を「ISMS認証とISO27001は一緒なのか?」でご紹介しています。詳細な情報はこちらの記事を参照ください。

累計ダウンロード5,000件突破!ISO27001丸わかり説明資料

まとめ

近年、ITの発展は目覚ましいものがあり、多くの重要な情報がデータとして保持されています。
しかし、これらの情報が悪意のある第三者の攻撃によって、情報漏えいの危険に晒されています。

ISMS認証とは、これらの脅威から企業全体のマネジメントの一つとして、情報セキュリティマネジメントシステムを構築し認証を受けることなのです。
情報セキュリティには、機密性・完全性・可用性の三要件があり、これらをバランスよく確保されている状態にすることが必要です。
バランスよくというところが重要で、むやみに機密性だけを高めると、セキュリティは強固になりますが、業務効率が落ちデメリットの方が大きくなることがあります。

適切にこれらを確保するために、ISO27001などの国際規格で定められている手順や方法に沿って構築していきましょう。
構築した情報セキュリティマネジメントシステムが、ISMS認証機関の審査を受け承認されることで、ISMS認証を取得できます。

累計ダウンロード5,000件突破!ISO27001丸わかり説明資料
  • 無料資料 | ISO27001・Pマーク導入 徹底解説
  • 『ISO27001・Pマークを網羅的に分かりやすく』をコンセプトに、ISOコンサルタント監修のもとISO27001・Pマークについて図解などを交え詳細に解説しています。分かりやすいというお声も多くいただいていますので、ぜひ御社でご活用ください。
  • 必須ご担当者様名
  • 必須電話番号
  • 任意会社名
  • 任意メールアドレス
  • 必須個人情報の取り扱い
    (個人情報保護方針を読む)

ISOプロでは月額4万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。

サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。

ISO27001、40,000円/月から作業工数ほぼ0実現!ISO新規取得・運用完全サポートならISOプロ