ISMSの取得方法とは?コンサル依頼すべきかどうかや取得費用を解説
- ISMSを取得するにはプロのコンサルティング業者にサポート依頼するのがおすすめ
- ISMS取得には、情報セキュリティマネジメントシステムの構築と運用をしたのち、審査を受ける必要がある
ISMSという言葉をニュースなどで耳にしたことはあるでしょうか。
ISMSとは情報セキュリティを管理する仕組みのことで、正式名称は「Information Security Management System」です。情報セキュリティの管理を適切に行っているという信頼を対外的に得るために、このISMSの取得を目指す中小企業が増えています。ISMS取得のために、ある日突然担当者に任命されるなんてことも起きてしまうかもしれません。
ここでは、ISMS認証 のメンバーに任命されてから、認証取得を受けるまでの必要な基本的な流れや認証するメリット・デメリット、取得にかかる費用相場について、詳しく解説していきます。
目次
そもそもISMS認証とは
ISMS認証
とは、情報セキュリティマネジメントシステム
における要求事項が決められている
規格
や評価制度のことです。
情報セキュリティ認証のうち代表的な規格の一つとして、国際規格であるISO27001 が挙げられます。ISO27001を取得するためには、定められているISMSに関する要求事項を満たすことが必要です。
ここでは、そもそも情報セキュリティが必要とされるようになった背景や、情報セキュリティを構築する三要素について解説します。
情報セキュリティの必要性
IT技術が普及している現代では、何らかの損害やマイナスの影響になりかねないリスクから自社が保有する情報資産を保護できるよう、情報セキュリティの重要性が叫ばれるようになりました。
ISOプロを運営するNSSスマートコンサルティング株式会社が、従業員数300人以下のIT系中小企業経営者を対象に、「自社の情報セキュリティ管理の課題」に関する実態調査を実施。自社の情報セキュリティ環境に不安を感じている企業に、情報セキュリティ体制が万全でないと考える理由を質問したところ、以下のような回答が得られました。
実際の経営者の中にも、このような危機感をもっている経営者も多くいるのです。情報セキュリティ対策を講じていないことで、「実際に問題が発生したことがある」と答えた経営者も一定数いました。
こうした理由から、情報セキュリティリスクである情報の流出やサイバー攻撃、不正アクセスなどのリスクに対し、低減するシステムを築くことが求められているのです。
また、情報セキュリティ体制を構築するために、ISMS認証(ISO27001)の取得を目指す企業が増えています。最近では、ISMS認証などの認証制度を受けることが、取引条件になっている場合もあります。
そこで、ISMS認証について調査すると、以下のような結果になりました。
「ISO27001などの認証を取得していないことで、契約に至らなかった」と回答した方が、65.2%もいたのです。そのため、今後はIT業界だけでなく、情報を多く取り扱う企業であれば、ISMS認証などの認証を取得することが情報セキュリティ体制の信頼性を得るために重要であるといえるでしょう。
こうした理由から、情報セキュリティやISMS認証の必要性が高まっているのです。
詳しい調査結果は下記からご覧いただけます。
情報セキュリティの三要素
ISO27001の要求事項を満たしたISMSを構築・運用することで、情報セキュリティの三要素である「機密性 」・「完全性 」・「可用性」をバランスよく高められます。
機密性:特定の社員だけが情報へアクセスできるように許可されている状態
完全性:情報資産が常に正確で最新の状態で維持できている状態
可用性:必要なときに、必要な人が、いつでも情報資産を使用できる状態
ISMSとISO27001・Pマークとの違い
ISMSと混同しやすい認証規格にISO27001とPマークがあります。ここでは、ISMSとISO27001・Pマークとの違いを解説します。
ISO27001との違い
ISO27001は、ISO(国際標準化機構)が発行している国際規格の一つです。情報セキュリティリスクに対し、有効なISMSを構築・運用するための要求事項を示しています。
そのため、ISMSとISO27001の違いとは、「仕組み」か「規格」かという点です。わかりやすくまとめると、「機密性・完全性・可用性をバランスよく高めていくために、どのようにISMSを構築・運用していけばよいのか」を示しているのがISO27001と覚えておきましょう。
Pマーク(プライバシーマーク)との違い
Pマークとは、個人情報保護マネジメントシステムに関する日本国内で有効な認証制度です。個人情報を保護する体制を構築・運用している組織を認証し、Pマークを付与しています。
ISMSとPマークの違いとは、ISO27001と同様に「仕組み」か「規格」かという点に加えて、「保護対象」と「取得範囲の対象」の違いがあります。
Pマークの保護対象が個人情報に限定されているのに対し、ISMSは個人情報だけでなく、組織が保有する情報資産すべてになります。
また、Pマークの取得範囲の対象が法人ごとの取得であるのに対し、ISMSでは取得範囲を組織ごとに決められます。例えば、本社や営業部など、支社や部門単位でも取得が可能です。
ISO27001とPマークのどちらを取得すべきか
ISO27001とPマークはどちらも情報セキュリティに関する規格です。自社の情報セキュリティ体制を強化し、対外的にアピールするためにはどちらの規格を取得すべきなのでしょうか。
結論からいうと、企業の方針や事業内容に拠ります。そのため、両者の違いをよく検討したうえで自社に適した規格を取得しましょう。
一般的にISO27001は情報資産全般の管理を強化したいBtoB企業、海外企業との取引がある企業に多く取得されています。一方、Pマークは個人情報を多く取り扱うBtoC企業、国内での事業を展開している企業が取得する傾向があります。
両者の違いは、以下の記事で詳しく解説していますので、参考にしてください。
ISMS認証の取得企業
ISMS認証のうち、ISO27001の認証取得組織情報を確認するには、日本国内のISMSを管轄する「情報マネジメントシステム認定センター」のホームページにある「ISMS認証取得組織検索」
からチェックできます。2024年4月9日現在では、取得企業登録数は7,733社、実際にISO27001の取得を公表している会社は7,325社です。
国内外において、以下のような有名企業も認証範囲を設定して取得しています。
- Microsoft
- 楽天グループ
- ソニー株式会社
- ソフトバンク株式会社
- 株式会社野村総合研究所
- 富士通株式会社
有名企業も取得しているように、IT技術の進歩や普及によってISMS取得企業数は毎年増加傾向です。情報セキュリティを重視する動きは、今後も加速していくでしょう。
ISO27001を取得すべき業種には、情報セキュリティに直接関係するITサービス業以外にも人材派遣業、金融業、その他個人情報や機密情報を扱う業種などが挙げられます。
ISMS認証を取得するメリット・デメリット
ISMS認証を取得するメリット・デメリットについて解説します。
ISMS認証を取得するメリット
ISMS認証を取得することにより、主に以下のようなメリットを受けられます。
対外的な信頼の醸成
情報セキュリティ体制を構築することは、企業の社会的な役割の一つになっています。ISMS認証を取得すると、自社の情報セキュリティにおける取り組みを第三者から評価されていることになるため、対外的な信頼を獲得することにつながるでしょう。
情報セキュリティリスクの低減
社内の情報資産において、どのようなリスクがあるのかを洗い出し、評価するリスクマネジメントを実施します。把握したリスクにおいて、リスク対策を行うことで、不正アクセスやサイバー攻撃、情報漏えい、改ざんといった情報セキュリティリスクを低減できます。
業務効率化につながる
情報セキュリティマネジメントシステムを構築・運用する過程で情報セキュリティを構成する三要素をバランスよく高められます。
完全性は「情報資産の正確さと最新状態の維持」を指しているため、情報が整理整頓されている状態となり、業務効率化につながるでしょう。
社員の情報セキュリティリテラシーの向上
情報セキュリティ体制の構築・運用において、社員への情報セキュリティ教育が実施します。情報管理に必要な能力を培ったり、情報セキュリティ意識が高まったりすることで、情報セキュリティリテラシーの向上が見込めます。
ISMS認証を取得するデメリット
ISMS認証を取得にあたり、発生する可能性があるデメリットについても把握しておきましょう。
マニュアルやルール、文書が増える
ISMS認証を取得するためには、基本的に93個の管理策に対応することが必要です。そのため、新たなマニュアル・ルールの策定や記録文書の作成が求められることがあります。
従業員の業務負荷が増加する
ISMS運用がうまくいかないと、管理が煩雑になるとともに運用する従業員の業務負荷が増加する可能性があります。
取得後にも費用がかかる
ISMS認証の初回認証審査前には、審査費用や人件費、コンサルティング費用などがかかります。しかし、審査に通過したあとも、毎年、維持審査や更新審査を受けることが必要なため、審査費用が必要です。
ISMS認証を取得するメリット・デメリットの詳細は以下の記事をご覧ください。
ISMS認証取得の流れ
ISMS認証を取得するための流れとして、まず組織としてどのような情報セキュリティを構築するのか検討する必要があります。
1.ISMS認証取得・適用範囲の決定
はじめに決めることは、ISMS(ISO27001)の認証取得をする適用範囲です。
ISMSでは、全社での取得以外にも、特定の部署や支店などで限定的に取得することもできます。例えば、顧客からの要望や入札条件などによりISMS認証が必要な場合、対象の拠点や部署だけが認証されていれば良い場合もあります。全社で導入する負担が大きい場合は、必要な範囲のみで取得しましょう。
また、ISMS認証取得に向けて、自社の方針や目標を明らかにするために、情報セキュリティ方針と情報セキュリティ目的 を決めます。企業によっては情報セキュリティポリシーとしてホームページ上に掲載している場合もあります。
2.現状の情報資産の洗い出し・対策方法の確認
社内には、情報資産というものが非常に多く存在しています。個別の担当者レベルでしか把握できていないものもあるかもしれません。
現状、社内にある情報資産をすべて洗い出して、情報資産管理台帳に書き出しましょう。ISMS取得のためには、それら資産がもつリスクや、リスクに対する管理・情報セキュリティ対策方法について確認を行う必要があります。
3.リスクアセスメント(リスクの予測、見積もり、評価の過程)
続いては、リスクアセスメントについて説明します。リスクアセスメントは上記で洗い出した情報資産に対して、職場 内において想定される危険をピックアップして、情報セキュリティレベルの評価、除去・低減を行うことです。情報資産それぞれに起こり得るリスクを、台帳に取りまとめましょう。
そして、それぞれのリスクに見積もり・点数をつけて評価し、優先度を設けます。点数化は必ずしもやる必要はありませんので、組織のやり方に合わせて実施すればよいかと思います。優先度に沿ってリスク低減を実施していきましょう。
また、リスクアセスメントは一度きりではなく、定期的な対策の追跡や、新たに生まれたリスクなどについて検討をしていく必要があります。
4.ISMS文書の作成
ここまで議論や評価を行ってきたものを踏まえて、社内で情報セキュリティマネジメントシステムを運用するための規定や手順などの各種マニュアル文書を作成していきます。これは、認証審査での要求事項も踏まえて作成していく必要があるでしょう。
また、適切な情報セキュリティ管理・運用を行うために、記録類の様式なども同時に作成が必要です。そしてISMSを取得する際に、組織の状況に合わせて適用除外が認められている項目もあります。適用除外を明確にするための、「適用宣言書」が必要なので忘れないようにしましょう。
5.ISMSの運用・社内教育
規定やマニュアルなどにまとめた内容に沿って、実際に社内で運用してみましょう。
ただし、いきなり運用を始めても社員は理解できません。
社内教育などを通して自社のISMSへの理解を深めさせたうえで、運用していく必要があります。
実務でマネジメントシステムを一巡させられれば、概ね社員の理解は高まるでしょう。
6.内部監査
社内で内部監査員
を選任して構成した内部監査チーム、もしくは外部の専門家に依頼することで、内部監査を行います。
社内でISMSの規定やルールに沿った運用が行われているか、適用範囲内の社員が情報セキュリティの知識が周知しているかなどを判定するためです。
内部監査によって問題点が指摘された場合、該当部署は対策を行ったうえで報告しなければなりません。
7.マネジメントレビュー
社長など会社の代表者は、内部監査による報告や実際の運用状況を確認したうえで、マネジメントレビューを行います。
マネジメントレビューでは、単なる規格に沿った事実を述べるだけではいけません。リーダーシップにもとづいてトップ自らの責任による判断を下し、マネジメントレビューを
アウトプット
しましょう。
8.認証審査
ISMS認証の認定審査は二段階です。
第一段階審査
文書審査がメインで、マニュアルや手順書などの情報セキュリティマネジメントシステムを規定した文書が、「ISO27001の規格要求事項に適合しているか」審査します。また、規格要求事項に則していても、組織に適した文書になっていないと意味がありません。規格、組織両方にマッチした文書となっているか、念入りに確認されます。
第二段階審査
認証審査員が取得範囲の部署の社員に対して、マネジメントシステムの実際の運用状況を確認します。運用に不備があるとISMS認証機関から是正の指摘を受けるので、それらを対応して審査終了です。
第一段階審査、第二段階審査を経て認証登録がされるまでの期間は、3ヵ月程度が目安となっています。
ISMS認証取得にかかる費用・期間
ISMS認証取得にかかる費用や期間の相場について紹介します。
ISMS認証取得にかかる費用
ISMS認証取得には、必ず審査費用がかかります。審査費用は、取得する事業規模や審査機関によって異なりますが、相場は50~100万円程度です。
また、取得のサポートをコンサルティング会社に依頼する場合には、審査費用にコンサルティングの依頼料がかかってきます。
ただし、コンサルタントに依頼した方が、自主取得よりも費用総額を抑えられることが多くあります。それは、自主取得の場合には自社の人員がISMS認証にかかる作業をすべて行わなければならず、取得にかかるおよそ1年以上の間、本業に集中できなくなるためです。その結果、目に見えにくい人件費コストが肥大化し、コンサルティング会社に依頼するよりも高額になることが多いのです。
ISMS認証取得にかかる期間
ISMS認証取得にかかる期間は、会社の規模やISMSの適用範囲、自社取得かコンサル取得かによって異なります。
そのため、あくまで目安にはなりますが、一般的に自社取得の場合には1年程度の期間がかかります。ノウハウやスキルがまったくない場合には数年ほどかかる場合もあるでしょう。
一方、コンサルティング業者に依頼する場合には、一般的に6カ月程度です。早い場合には4カ月で取得可能なケースもあります。
ISMS認証取得するための注意点
最後に、ISMS認証を取得する際に注意したいポイントを解説します。
要求事項をよく理解する
ISMS認証を取得する場合にはISO27001やPマークの要求事項をしっかりと理解することが必要です。というのも、どちらの規格も要求事項を満たした情報セキュリティマネジメントシステムを構築・運用しなければ取得審査で認証されないためです。
ISO27001の場合には、要求事項と管理策がセットになっています。そのため、管理策についても確認し、自社に適した管理策を選定して実施します。深い理解がなければ、思ったような効果につながらない可能性があるため、まずはしっかりと要求事項の内容を把握しましょう。
社内の連携を高める
ISMS認証を取得する際、全社的に取得するのではなく部署や事業所などの範囲を決めて取得する企業も多いでしょう。その場合にも対象部署や事業所だけでなく、関連部署の協力が必要になることがあります。
取得後もISMSを運用する中で、継続的な社内の連携が求められるでしょう。そのため、ISMS認証を取得する重要性を周知し、教育することが大切です。
ノウハウがない場合にはコンサルに依頼して取得する
コンサル取得とは、ISO27001やPマークにおけるプロのコンサルティング業者に認証取得支援サポートを依頼して取得することです。
ISMS認証を取得する場合には、規格要求事項をよく理解したうえで、自社の実情に合わせてISMSを構築・運用しなければなりません。そのため、ISMS認証におけるノウハウがない場合には、コンサルに取得サポートを依頼することがおすすめです。
一般的にコンサル依頼料として月額料金がかかりますが、ISMS認証取得にかかる業務の多くを請け負ってもらうことが可能です。外注費が月数万円というコンサルティング会社もあるため、月数十万円の人件費を支払うよりも安価に収まるケースも少なくありません。
また、認証取得コンサルティング業者に依頼することで、ISMS認証の審査通過の確実性が増すだけでなく、依頼先に拠っては自社の実情に適したマネジメントシステムの構築が期待できます。
取得するためだけでなく、取得後に機能するマネジメントシステムを構築するために、「コンサル取得」がおすすめなのです。またコンサルタント選びも非常に重要となります。
自社取得とコンサル依頼の詳細は、以下の記事をご覧ください。
まとめ
ISMS認証取得の流れは、組織としてのISMSの構築、運用、そして認証機関における審査によって進んでいきます。
一般的な流れを解説しましたが、構築のためにはかなりの労力と時間が必要です。
企業によっては独力で行うのではなく、コンサルタントに入ってもらいISMS認証を目指す方が効率的かもしれません。
しかし、最終的に作業を行うのは、ISMS担当になった方です。
認証取得までの流れをしっかりと把握したうえで、入念に準備を進めていきましょう。
ISOプロでは月額4万円から御社に合わせたISO運用を実施中
ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。
また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。
こんな方に読んでほしい