ISMS認証とは?メリットやデメリット、認証取得の方法・流れを解説!
ISMS
という言葉をニュースなどで耳にしたことはあるでしょうか。
ISMSとは情報セキュリティを管理する仕組みのことで、正式名称は「Information Security Management System」です。情報セキュリティの管理を適切に行っているという信頼を対外的に得るために、このISMSの取得を目指す中小企業が増えています。ISMS取得のために、ある日突然担当者に任命されるなんてことも起きてしまうかもしれません。
ここでは、ISMS認証
のメンバーに任命されてから、認証取得を受けるまでの必要な基本的な流れや認証するメリット・デメリット、取得にかかる費用相場について、詳しく解説していきます。
目次
そもそもISMS認証とは?
ISMS認証
とは、情報セキュリティマネジメントシステム
における要求事項が決められている
規格
や評価制度のことです。
IT技術が普及している現代では、何らかの損害やマイナスの影響になりかねないリスクから自社の保有する情報資産を保護できるよう、情報セキュリティの重要性が叫ばれるようになりました。
情報セキュリティリスクには、情報の流出やサイバー攻撃、不正アクセスなどのさまざまなリスクが存在しています。これらのリスクに対し、一つずつ対策するのではなく、情報セキュリティリスクを低減するシステムを築くことが求められています。そのため、情報セキュリティを高められる体制を構築できるISMS認証を受ける組織が増えているのです。
ISMS認証のうち代表的な規格の一つとして、国際規格であるISO27001
が挙げられます。ISO
27001を取得するためには、定められているISMSに関する要求事項を満たすことが必要です。
ISO27001の要求事項を満たしたISMSを構築・運用することで、情報セキュリティを構築している「機密性
」・「完全性
」・「可用性」をバランスよく高めることができます。
機密性:特定の社員だけが情報へアクセスできるように許可されている状態
完全性:情報資産が常に正確で最新の状態で維持できている状態
可用性:必要なときに、必要な人が、いつでも情報資産を使用できる状態
ISMSにおける認証規格の違いとは?
ISMSと混同しやすい認証規格にISO27001とPマークがあります。それぞれの違いを理解するために、ぜひ参考にしてください。
ISMSとISO27001との違い
ISO27001は、ISO(国際標準化機構)が発行している国際規格の一つです。情報セキュリティリスクに対し、有効なISMSを構築・運用するための要求事項を示しています。
一方、ISMSは情報セキュリティマネジメントシステムのことで、組織の情報セキュリティを向上する仕組みです。
そのため、ISMSとISO27001の違いとは、「仕組み」か「規格」かという点です。わかりやすくまとめると、「機密性・完全性・可用性をバランスよく高めていくために、どのようにISMSを構築・運用していけばよいのか」を示しているのがISO27001と覚えておきましょう。
ISMSとPマーク(プライバシーマーク)の違い
Pマークとは、日本国内で有効な個人情報保護マネジメントシステムにおける認証制度です。個人情報を保護する体制を構築・運用している組織を認証し、Pマークを付与しています。それにより、消費者の保護に関する意識向上と社会的な信用を得るというインセンティブを組織に与えることを目的としています。
ISMSとPマークの違いとは、「保護対象」と「取得範囲の対象」にあります。
Pマークの保護対象が個人情報に限定されているのに対し、ISMSは個人情報だけでなく、組織が保有する情報資産すべてになります。
また、Pマークの取得範囲の対象が法人ごとの取得であるのに対し、ISMSでは取得範囲を組織ごとに決められます。例えば、本社や営業部など、支社や部門単位でも取得が可能です。
ISMS認証を取得するメリット
ISMS認証を取得することで、企業はどのようなメリットを受けられるのでしょうか。ここでは、ISMS認証を取得するメリットについて解説します。
情報セキュリティリスクの低減
情報資産を保護する体制を構築・運用することでISMS認証を取得できるため、不正アクセスやサイバー攻撃、情報の流出、改ざんといった情報セキュリティリスクを低減できます。
ISO27001においては、定期的なリスクアセスメントの実施が必要です。自社が保有している情報資産や、情報セキュリティリスクについて把握し、その対策を取ることができるようになります。
取得したら完了するわけではなく、PDCAサイクルを回し、継続的に改善していくことが求められているため、より強固な情報セキュリティ体制の構築・運用を目指せるのです。
対外的な信頼の醸成
情報セキュリティ体制を構築することは、企業の社会的な役割の一つになっています。ISMS認証を取得すると、自社の情報セキュリティにおける取り組みを第三者から評価されていることになるため、対外的な信頼を獲得することにつながるでしょう。
ISMS認証の取得が、官公庁からの案件への入札条件になっていることも増えているため、新たなビジネスチャンスの獲得も期待できます。
業務効率化につながる
ISMS認証を取得すると、情報セキュリティを構成する三要素をバランスよく高められます。そのうち、可用性は「情報資産の活用しやすさ」といえるため、情報が整理整頓されている状態となるため、業務効率化につながるでしょう。
ISMS認証を取得するデメリット
ISMS認証を取得にあたり、発生する可能性があるデメリットについても把握しておきましょう。
マニュアル・ルールや文書が増える
ISMS認証を取得するためには、93個の管理策に対応しなければなりません。そのため、新たなマニュアル・ルールの策定や記録文書が必要となるでしょう。しかし、管理策に対応するために組織の実情にそぐわないマニュアル・ルールを作ってしまうと、かえって管理が煩雑になってしまう可能性があるのです。
組織の実情に適したマニュアル・ルールを策定することで、ISMSの形骸化を防ぐことにつながります。
従業員の業務負荷が増加する
要求事項を満たすために新たなマニュアル・ルールが策定された場合には、従業員の業務負荷が増加するでしょう。
身近な例で言うと、ID・パスワードの変更頻度や添付ファイルの送信に関するルールなどが挙げられます。また、働き方改革の推進によって、リモートワークなど情報を会社の外部で取り扱う機会が増えています。こうした場合にも情報セキュリティへの取り組みとなるルールが設けられるでしょう。
小さな負荷が増えることで、従業員の負担になる可能性があるのです。重要性を理解したうえで取り組んでもらえるよう、積極的に働きかけていくことが大切です。
取得後にも費用がかかる
ISMS認証は取得後も、継続するために費用がかかってきます。毎年、審査を受けることが必要なため、審査費用が発生するのです。年1回の維持審査では認証登録時の約5割、3年に一度の更新審査(維持審査の代わりに行う)では認証登録時の約6~7割の費用が発生します。
また、情報セキュリティを高めるために、場合によってはセキュリティ対策ソフトの導入などの諸経費がかかってくる可能性があるでしょう。
ISMSの構築フェーズ
ISMS認証を取得するための流れとして、まず組織としてどのような情報セキュリティを構築するのか検討する必要があります。
ISMS認証取得・適用範囲の決定
初めに決めなければならないのは、ISMS(ISO27001)の認証取得をする適用範囲を決めることです。
ISMSでは、全社での取得以外にも、特定の部署や支店などで限定的に取得することもできます。
たとえば、顧客からの要望や、入札条件などでISMS認証が必要な場合、対応する拠点や部署だけが認証されていればよい場合もあるのです。全社で導入する負担が大きい場合は、対応が必要な範囲のみで取得しましょう。
現状の情報資産の洗い出し・対策方法の確認
社内には、情報資産というものが非常に多く存在しています。個別の担当者レベルでしか把握できていないものもあるかもしれません。
現状、社内にある情報資産をすべて洗い出して、情報資産管理台帳に書き出しましょう。ISMS取得のためには、それら資産がもつリスクや、リスクに対する管理・対策方法について確認を行う必要があります。
リスクアセスメント(リスクの予測、見積もり、評価の過程)
続いては、リスクアセスメントについて説明します。リスクアセスメントは上記で洗い出した情報資産に対して、職場 内において想定される危険をピックアップして、その評価、除去・低減を行うことです。情報資産それぞれに起こり得るリスクを、台帳に取りまとめましょう。
そして、それぞれのリスクに見積もり・点数をつけて評価し、優先度を設けます。点数化は必ずしもやる必要はありませんので、組織のやり方に合わせて実施すればよいかと思います。優先度に沿ってリスク低減を実施していきましょう。また、リスクアセスメントは一度きりではなく、定期的な対策の追跡や、新たに生まれたリスクなどについて検討をしていく必要があります。
ISMS文書の作成
ここまで議論や評価を行ってきたものを踏まえて、社内で情報セキュリティマネジメントシステムを運用するための規定や手順などの各種マニュアル文書を作成していきます。これは、認証審査での要求事項も踏まえて作成していく必要があるでしょう。
また、適切に情報セキュリティ管理・運用を行うために、記録類の様式なども同時に作成が必要です。そしてISMSを取得する際に、組織の状況に合わせて適用除外が認められている項目もあります。適用除外を明確にするための、「適用宣言書」が必要なので忘れないようにしましょう。
ISMSの運用フェーズ
ISMS文書まで作成できたら、実態に運用をしていきましょう。
ISMSの運用・社内教育
規定やマニュアルなどにまとめた内容に沿って、実際に社内で運用をしてみましょう。
ただし、いきなり運用を始めても社員は理解することができません。
社内教育などを通して自社のISMSへの理解を深めさせたうえで、運用していく必要があります。
実務でマネジメントシステムを一巡させることができれば、概ね社員の理解は高まるでしょう。
内部監査
社内で構成した内部監査チーム、もしくは外部の専門家に依頼することで、内部監査を行います。
社内でISMSの規定やルールに沿った運用が行われているか、適用範囲内の社員が情報セキュリティの知識が周知しているかなどを判定するためです。
内部監査によって問題点が指摘された場合、該当部署は対策を行ったうえで報告しなければなりません。
マネジメントレビュー
社長など会社の代表者は、内部監査による報告や実際の運用状況を確認したうえで、マネジメントレビューを行います。
マネジメントレビューでは、単なる規格に沿った事実を述べるだけではいけません。リーダーシップにもとづいてトップ自らの責任による判断を下し、マネジメントレビューを
アウトプット
しましょう。
ISMSの審査フェーズ
一定期間の運用、内部監査、そしてマネジメントレビューを終えたら、いよいよISMSの審査に移ります。
第一段階審査
ISMS認証の審査は二段階です。第一段階審査では、文書審査がメインで、マニュアルや手順書などの情報セキュリティマネジメントシステムを規定した文書が、「ISO27001の規格要求事項に適合しているか」審査します。また、規格要求事項に則していても、組織に適した文書になっていないと意味がありません。規格、組織両方にマッチした文書となっているか、念入りに確認されます。
第二段階審査
第二段階審査では、認証審査員が取得範囲の部署の社員に対して、マネジメントシステムの実際の運用状況を確認します。運用に不備があると認証機関から是正の指摘を受けるので、それらを対応して審査終了です。
第一段階審査、第二段階審査を経て、ISMSの認証登録がされるまでの期間は、3ヵ月程度が目安となっています。
ISMS認証取得にかかる費用の目安
ISMS認証取得には、必ず審査費用がかかります。審査費用は、取得する事業規模や審査機関によって異なりますが、相場は50~100万円程度です。また、取得のサポートをコンサルティング会社に依頼する場合には、審査費用にコンサルティングの依頼料がかかってきます。
ただし、コンサルタントに依頼した方が、自主取得よりも費用総額を抑えられることが多くあります。それは、自主取得の場合には自社の人員がISMS認証にかかる作業をすべて行わなければならず、取得にかかるおよそ1年以上の間、本業に集中できなくなるためです。その結果、目に見えにくい人件費コストが発生し、コンサルティング会社に依頼するよりも高額になることが多いのです。
そのため、多くの組織が、コンサルティング会社にサポートを依頼して、ISMS認証を取得しています。
まとめ
ISMS認証取得の流れは、組織としてのISMSの構築、運用、そして認証機関における審査によって進んでいきます。
一般的な流れと解説しましたが、構築のためにはかなりの労力と時間が必要です。
企業によっては独力で行うのではなく、コンサルタントに入ってもらいISMS認証を目指す方が効率的かもしれません。
しかし、最終的に作業を行うのは、ISMS担当になった皆様です。
認証取得までの流れをしっかりと把握したうえで、入念に準備を進めていきましょう。
ISOプロでは月額4万円から御社に合わせたISO運用を実施中
ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。
また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。
こんな方に読んでほしい