ISMS認証とは?取得に関する疑問を徹底解説!
IT技術の発達によって、企業に対する情報セキュリティの要求は次第に高くなっています。一度情報が漏えいしてしまうと、企業機密が外部へと流出するだけではなく、社会的な信用を失う恐れもあるでしょう。そこで、注目されているのがISMS です。企業内でISMS導入の検討が始まった際、ISMS認証 取得の担当者に選ばれて、途方に暮れてしいる方は非常に多いと思われます。
何となくISMSという言葉を知っているけれども、実際どのようなもので、取得のメリット、プライバシーマークとの違い、認証取得までの流れなど、分からないことが多いのではないでしょうか。ここでは、ISMS認証に関する概要や、取得を検討する際に生じる疑問などについて、徹底的に紹介いたします。
目次
情報セキュリティマネジメントシステム(ISMS)とは?
ISMSとは、情報セキュリティマネジメントシステムの略称です。近年、IT技術の進歩により、企業の重要な情報がデータとしてオンライン上やシステム上で管理されています。
便利な一方で、それらの情報は常に悪意ある第三者による不正アクセスやウイルスによる被害などのリスクに晒されているといえるでしょう。万が一情報が漏えいしてしまうと、企業の信用が失墜してしまう恐れがあります。また、オンライン上のデータに限らず、紙媒体で保管している情報であっても、漏えいすることで同様のことが考えられます。
ISMSでは、脅威
に対するリスクを個別対処するのではなく、組織全体でマネジメントすることを目的としています。
リスクアセスメントによって情報資産のセキュリティレベルを決定し、対策プランの作成、企業資源の配分により運用していくのです。
これにより、企業の情報資産が適切に守れる
環境
を構築できるだけでなく、顧客に対して安全性の高さを証明することができるでしょう。
ISMSを運用するうえで、重要ながらも最も基本的なポイントとして、下記「三要件」というものが定義されています。
- 機密性
- 完全性
- 可用性
機密性
とは、特定の社員だけが情報へのアクセスを許可されている状態です。誰でもアクセスできる状態では、リスクが高いといえるでしょう。
完全性
とは、保存されている情報資産が常に正確な状態を維持できているかを示す指標です。間違った情報が保存されていると、正常な事業運営が阻害されることでしょう。
そして、最後の可用性とは、誰も触れられない状態ではなく、必要なときにいつでも使える状態にあるかという指標です。
ISMSでは、この3つの要件にもとづいて、情報資産のリスク管理体制を構築していきます。これらは、全て揃った状態が望ましく、どれか一つだけでは適切な状態といえません。どれか一つでも欠けてしまうと、情報セキュリティ上でのリスクが生じます。それぞれがバランスよく確保されている状態が求められるのです。
ISMSとISO27001の違いとは?
ネット上でISMS認証について調べると、並列してISO27001
という言葉がヒットします。まったく違うようでありながら、違いについて理解することができず、困惑している人が多いようです。大まかな意味では、ISMSとISO27001は、同じ意味を有するといっても構わないでしょう。
ISMSは、悪意のある第三者から企業の情報資産を守るために、情報資産が有するセキュリティリスクの把握や、管理・対策などを行うための仕組みや手順などの規定です。
一方、ISO27001は、ISO(国際標準化機構)とIEC(国際電気標準会議)が共同で定めた、情報セキュリティに関する国際規格
になります。
企業がISMSを構築する際の指標であり、企業はこの国際規格にもとづいて、情報資産の「機密性」「完全性」「可用性」をバランスよく確保するための手順や方法などを、自社に適した仕組みとして組み込んでいくのです。
日本では、ISO27001が企画される以前から、ISMS
適合性
評価制度という制度が設けられていました。その後、ISO27001が登場し移管されたことから、現在でもISMSとISO27001という名称が混在しているのです。
ISMSとPマークの違いとは?
ISMSと同じように、情報資産の保護を目的とした認証制度でプライバシーマーク(Pマーク)という制度が存在します。企業によっては、ISMSとPマークを比較して、どちらかを認証取得したいと考えているケースが多いようです。この2つの認証制度は一見非常によく似ているようですが、実際はまったく異なるものなのです。
まず、導入にいたる目的が違います。ISMSは、企業が有する情報資産のリスクを把握して、機密性・完全生・可用性に対するリスク対応を目的としています。一方Pマークは、個人情報保護法にもとづき、保有している顧客の個人情報保護を目的としているのです。
双方を比較すると、ISMSの情報資産の中には個人情報も含まれるので、対象範囲はISMSの方が大きいといえます。また、ISMSは国際規格に則っていれば、企業の実態に合わせて、比較的フレキシブルに仕組みを作り上げていくことができるため、ISMSと一言でいっても、企業によってその内容は異なるものといえるでしょう。
一方、Pマークは規格内で細かく手順が決められており、この手順に即していないと認証取得することができません。そのため、業態ごとの違いはあまりなく、どの企業であってもほとんど同じ手順で運用されることになります。良く言えばガッチリ固められているものでありますが、悪く言えば柔軟性に欠けるということですね。
さらに、対象範囲にも大きな違いがあります。ISMSは企業全体で管理する方法以外に、特定の部署や支店などだけで認証を受ける部分認証が可能です。一方で、Pマークは会社全体の個人情報を保護するための規格なので、登記されている法人単位での認証となります。
その他にも、規格や要求、更新や相互認証などに違いがあります。しかし、一般的にはBtoCなどの個人情報を収集して取り扱うことが多い企業ではPマークを。その他の情報資産も含めて、セキュリティ管理が重要とされるBtoBの企業においてはISMSの認証がおすすめです。ただし、双方のメリットや目的をしっかりと把握したうえで、検討する必要があるでしょう。
ISMS認証を取得するメリット・デメリット
ISMS認証を取得することで、企業にはさまざまなメリットがあります。対外的なメリット、社内的なメリットとしては次のとおりです。
対外的メリット
- 顧客からの信頼度向上
- 他社との差別化
- 情報セキュリティに関する説明責任
- 取引条件のクリア
社内的メリット
- 情報セキュリティリスクの低減
- 従業員の意識やモラルの向上
- 業務効率の向上
対外的なメリットとしてもっとも重要なのは、顧客に対しての信頼性向上や他社と差別を図れる点です。第三者から評価を受けることで、広く納得してもらいやすいといえます。
また、官公庁の入札条件や顧客からの要望などで、ISMS認証を指定されることも増えてきているので、売り上げのチャンスになるといえます。また、社内的にも情報資産のセキュリティリスク低減にとどまらず、社員一人ひとりの意識向上にもつながるでしょう。
一方で、ISMS認証にはメリットだけではなく、下記のようなデメリットも存在します。
- 業務負荷の増大
- コストの増大
- マニュアルや文書が増える
ISMSの規定にもとづいた管理策を講じるだけではなく、文書の最新版管理のために定期的な見直しが必要など、業務の負担が大きくなるでしょう。また、ISMS認証の取得には審査を受ける必要があるため、定期的な更新審査により発生する、維持管理のための審査コストが毎年必要になります。さらに、情報セキュリティ対策として、IT機器の導入などが必要となるケースが考えられます。
このように、ISMS認証はメリットが大きい反面、デメリットも無視することができません。導入を検討する際は、メリットとデメリットを天秤にかけて、決定する必要があるでしょう。
ISMS認証取得までの流れ
ISMS認証に関する検討を進め、いざ取得する方向で話が進んだ場合、構築フェーズ、運用フェーズ、そして審査フェーズの3つの段階で流れていきます。
構築フェーズ
まずは、ISMS認証取得する範囲を決めましょう。ISMSでは、全社認証以外に特定の部署や支店で認証することも可能なので、全社での導入に負担に感じる場合は、部分認証もおすすめです。その後、適用範囲の情報資産を洗い出し、リスクアセスメントによって、情報資産のリスク見積もり・評価ののちに対策を行います。最終的に、国際基準に準じたマニュアルや手順書の作成が必要です。
運用フェーズ
情報資産の洗い出しやマニュアル・手順書が完成すれば、実際に運用に入ります。運用に入るためには、実際に社員にISMSの考え方やマニュアルの説明、運用方法などについて社内教育をしていく必要があるでしょう。そして、実際に運用を進めていき、内部監査 によって、マニュアルや基準に則していない部分の是正を行っていきます。最終的に、経営者によるマネジメントレビューを行うことで、審査を受ける準備が完了となるのです。
審査フェーズ
ISMS認証の審査には二段階あります。第一段階審査では、主にマニュアルや手順書などの文書審査がメインとなり、組織が定めたルールが、国際規格が定めている規格要求事項に適合しているかどうかの審査が行われます。第二段階審査では、マネジメントシステムの運用状況の確認が行われ、実際に各部門のスタッフと審査員が対話形式で審査が行われます。万が一運用上の不備があった場合は、是正対応が完了した時点で審査終了となり、認証登録となります。
まとめ
ISMS認証とは、近年のIT技術の発達とともに潜在的な情報セキュリティリスクから企業の情報資産を適切に守るための仕組みや体制を整える規格認証です。ISMSは、ISO27001の国際基準にもとづいて構築されており、個人情報保護法をベースとするPマークとは役割が異なります。個人情報保護に特化したPマークと、企業が保有する資産全体を守るISMS、どちらが必要か判断して、認証取得を決定する必要があるでしょう。
ISMS認証を取得することで、信頼性向上などの対外的なメリットやモラル向上などの社内的メリットがある一方で、負担増加やコスト増加などのデメリットがあります。導入の際は、これらを勘案したうえで経営的な判断をしましょう。
ISMSの認証は独自で行うこともできますが、実績が豊富な専門家に相談したほうが、結果的に短期間でコストをかけずに認証できるかもしれません。認証を検討している場合は、ぜひお気軽にご相談や資料請求をしてください。
ISOプロでは月額4万円から御社に合わせたISO運用を実施中
ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。
また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。
こんな方に読んでほしい