ISO27001 は、組織においてさまざまな情報資産を守り、情報資産を守るために有効なマネジメントシステムの国際規格 です。また、近年では問題視されることも多い情報漏洩の事故などを防ぐ意味でも、多くの組織が 認証 を受けています。

ISO27001への理解を深め、取り組むべき方向性が見えることで、取得における難易度も下がるでしょう。情報に関する社員のモラル向上や、企業競争力の強化にもつながるため、情報サービス産業に属する組織の方は必見です。

ISO27001とは


ISO27001は、組織の情報資産を守り、有効に活用するためのマネジメントシステムの国際規格です。

組織における情報資産のセキュリティを管理するための枠組みである情報セキュリティマネジメントシステム「ISMS(Information Security Management System)」の基準がISO 27001及び、それと同等のJIS Q 27001に規定されています。

ISO27001は、情報の「機密性 」「完全性 」「可用性」という3つの項目をバランスよくマネジメントし、情報を適切に管理するための組織の枠組み作りの手段として利用されます。

累計ダウンロード5,000件突破!ISO27001丸わかり説明資料

ISO27001取得の流れ

ISO27001の認証を取得するためには、マネジメントシステムを構築し、運用し、審査を受ける必要があります。具体的には以下のステップを踏むことでISO27001認証を取得することが可能になります。

  1. 情報セキュリティ方針、情報セキュリティ目的の作成
  2. 文書構築(マニュアル、適用宣言書、手順書等)
  3. 帳票整備
  4. 運用+運用記録作成
  5. 内部監査
  6. マネジメントレビュー
  7. 是正処置
  8. 第一段階審査
  9. 第二段階審査
  10. 是正処置(該当する場合)
  11. 認証取得

また、ISO27001の認証取得後も認証を維持するために1年に1回~2回の維持審査(サーベイランス審査)、3年に1回の更新審査を受ける必要があります。以下では、認証取得後のステップも合わせて詳しく解説していきます。

1.情報セキュリティ方針、情報セキュリティ目的の作成

情報セキュリティ方針とは、情報セキュリティマネジメントシステムを構築する土台となる方針のことです。そして、情報セキュリティ目的 とは情報セキュリティ方針と調合性が取れた計測可能な具体的な目的のことです。これらは、情報セキュリティマネジメントシステムの中でも中核となる文書となるため、組織の目的や内外の課題、組織の全体的な方針(経営理念や企業目的)と整合したものを作成するように心がけましょう。

関連記事:ISO27001の情報セキュリティ目的・情報セキュリティ方針とは?

2.文書構築(マニュアル、適用宣言書、手順書等)

ISO27001では、下記の事項を満たす文書を作成する必要があります。

情報セキュリティマネジメントシステムの適用範囲の決定(4.3)

企業や組織は情報セキュリティマネジメントシステムをどの部署に適用させるのかどの範囲を適用させるのか、その境界線や適用可能性を決定しなければいけません。

情報セキュリティマネジメントシステム(4.4)

情報セキュリティマネジメントシステムを確立し,実施し,維持し,かつ,継続的に改善するという一連のプロセスを明確にし、下記の項目について必要な程度まで文書化する必要があります。

  • プロセスの運用を支援するための情報
  • プロセスが計画どおりに実施されたと確信するための情報

方針(5.2)

トップマネジメントは組織の環境 ををどのように保つのかどのように企業や組織内に伝えるのかを確立します。

情報セキュリティ目的及びそれを達成するための計画策定(6.2)

企業や組織は情報セキュリティマネジメントシステムを構築する上で、必要な関連する機能、階層及びプロセスの環境目標を確立する必要があります、目標を確立すれば、次に実施事項、必要な資源、責任者、実施事項の完了時期、結果の評価方法の内容を決定、文書化を行います。

運用の計画及び管理(8.1)

企業や組織は、情報セキュリティの提供に関する要求事項を満たす必要があり、「要求事項の明確化」、「プロセス、合否判定の基準の設定」、「要求事項の適合を達成するために必要な資源の明確化」、「プロセスの管理の実施」、「目的を達成するための情報を明確化」の5つを計画、実施、管理します。

一般的には上記の内容を含む文書をそれぞれ作成しますが、ISO認証のための文書としてではなく、実際に本業で活用することができる形で文書化することが望ましいでしょう。(※ただし、手順書、マニュアルを作成することは規格 は要求していません。)

関連記事:ISO27001で作成すべきマニュアル文書一覧

3.帳票整備

帳票整備は軽視されがちですが非常に重要なステップです。このステップでは見積書や契約書、仕様書など現場で使用する帳票のフォーマットの整備や保管方法、変更の管理方法などを決定します。この帳票整備をしっかり行わないと審査時にフォーマットに指摘が入ったりすることでこの後の運用ステップで対応方法や記録の方法が変わってしまいます。以下の要求事項を満たせるようにしっかりと帳票整備を行いましょう。

  1. 必要なときに,必要なところで,入手可能かつ利用に適した状態である。
  2. 情報が十分に保護されている。
  3. 配付,アクセス,検索及び利用が可能である。
  4. 読みやすさが保たれ、保管及び保存されている。
  5. 変更の管理がされている
  6. 保持及び廃棄方法が適切である

4.運用+運用記録作成

帳票を整備することができたら情報セキュリティ目的の達成を確実にする情報セキュリティ計画を実行し、マネジメントシステムを運用していきます。運用フェーズはPDCAサイクルのD(実行)の部分に該当します。運用の記録や検証の結果を作成した帳票に記入し、後から振り返りができるようにしておきましょう。

5.内部監査

ある程度の機関運用して帳票も作成できたら、内部監査 を行います。内部監査とは、組織内部の人間によってマネジメントシステムを評価する監査のことです。外部の監査員 を活用してはいけないという決まりはないため、コンサルに協力してもらうのも一つではあります。
内部監査では内部監査員としての 力量 を身に着けた数名が「マネジメントシステムが規格要求事項に合致しているか、ルール通り運用されているか(適合性)」ということと、「ルール通り運用していることが改善の役に立っているか( 有効性 )」を主に評価します。
また、意図した通りにマネジメントシステムが現場で運用されているか(複雑すぎて形骸化していないか)についても確認しておくと良いでしょう。

関連記事:ISO内部監査のまとめ

6.マネジメントレビュー

内部監査が完了したら、内部監査の結果に基づいてマネジメントレビュー を実施します。マネジメントレビューとは、トップマネジメントによって行われる情報セキュリティマネジメントシステムの評価のことです。
マネジメントレビューでは、内部監査の結果や情報セキュリティ目的と情報セキュリティ計画の乖離、 利害関係者 からの フィードバック をもとに等を インプット として報告し、「改善の機会」および「情報セキュリティマネジメントシステムのあらゆる変更の必要性」、「資源の必要性」について アウトプット を経営層からもらいます。
また、マネジメントレビューの記録についても残しておくようにしましょう。

関連記事:専門家が教える!マネジメントレビューの方法を徹底解説

7.是正処置

内部監査やマネジメントレビューの結果、是正処置が必要な場合(不適合があった場合)は是正処置を行います。
是正処置とは不適合があった場合に原因を除去し、再発を防止するために行うことです。ここで注意しておきたいことは、取り急ぎ不適合を回避するための「修正」と是正処理を混同しないようにすることです。有効な是正処置を行えるようにすることも内部監査員の重要な役割です。

8.第一段階審査

是正処置まで完了して、マネジメントシステムを3ヶ月~半年程度運用(明確な期間の定めなし)できたら、いよいよ審査機関に審査を依頼します。第一段階審査(一次審査)は文書審査とも言われており、マニュアルや手順書が要求事項を満たしているかどうかが確認されます。

関連記事:内部監査員が教えるISO審査機関の一次審査のポイントとは

9.第二段階審査

一次審査の結果、文書類が要求事項を満たしていると判断された場合に二次審査に移行します。二次審査では一次審査で提出した文書類をもとに現地審査が行われます。現地審査ではISOの担当者やトップマネジメントだけでなく、現場の作業員や情報セキュリティ責任者にも質問がされるため、想定される質問に対して適切に答えられるように準備をしておきましょう。基本的には業務に関する質問であり、準備の必要がないことがほとんどです。

関連記事:内部監査員から見たISO審査員による二次審査のチェックポイント

10.是正処置(該当する場合)

第一段階審査、第二段階審査後に発生する是正処置は、審査機関の審査で不適合があった場合に是正処置を行います。指摘箇所に対して有効な是正処置を行うことで、認証取得を行うことができます。第一段階審査では、不適合ではなく懸念事項(審査機関によって呼び方は様々)がだされ、第二段階審査までの是正が求められます。

11.認証取得

二次審査の結果、情報セキュリティマネジメントシステムがISO27001規格要求事項を満たしていると判断された場合、認証が発行されます。二次審査から一ヶ月程度で認証が発行されます。不適合があった場合は是正処置を行う必要があり、認証取得予定日もずれ込んでしまうため注意が必要です。

ISO27001の取得方法の詳細は以下の記事からご覧ください。

関連記事:ISO27001認証を取得する方法と流れを知ろう

ISO27001取得のスケジュール


ISO27001の認証を取得するまでの期間は、会社規模や適用範囲、自社で取得するかコンサルタントを入れるかで、大きく異なってきます。
適用範囲が広ければ、その構築や審査に時間を要します。

経験の多いコンサルタントへ依頼することで、経験のない自社で構築するよりも早いという違いも出てきます。取得したい時期や費用感などを踏まえて、最適な選択をする必要があります。自社構築する場合は、機会損失がどれだけか明確にしておきましょう。コンサル依頼のように、外注費はかかりませんが、外注費以上の機会損失がでる場合があります。

累計ダウンロード5,000件突破!ISO27001丸わかり説明資料

ISO27001取得にかかる費用

ISO27001の取得にかかる費用の内訳は、主に次の項目となります。

    審査機関へ支払う申請審査費用
    コンサルタント費用

1つ目の審査費用は、企業の規模によって金額が異なるため、審査機関から見積もりを取る必要があります。

2つ目のコンサルタント費用は、取得のためのアドバイスや代行業務を専門知識を持つコンサル会社に依頼する際に発生します。企業規模によって、数万円から数百万円までと大きく異なります。

また、サーバー代などのセキュリティ対策に必要となる設備投資費用が必要になる場合もあります。

ISO27001取得は難易度が高い?

ISO27001を取得するためには、定められた要求事項に則って仕組みを構築し、実際に運用していくことが求められます。その中で、ISOではここまでやれといった要求がなく、どこまでやるのかは自社で決める必要があります。また、取得のためにさまざまな工程を踏む必要があるため、現状と乖離した仕組みを構築してしまうことも多く、従業員への負担が大きなものとなってしまうこともあります。

そのため、現状に適した仕組みを検討することが、非常に難易度の高いものとなっている要因なのです。

累計ダウンロード5,000件突破!ISO27001丸わかり説明資料

ISO27001取得のメリットとデメリット


ここでは、ISO27001を取得するメリットとデメリットを解説します。

メリット

ISO27001を取得するメリットには次のようなものが挙げられます。

  • 従業員の意識向上
  • 情報セキュリティリスクの低減
  • 顧客からの信頼度向上
  • 事業継続性の向上

多くの業態において、モバイル端末を持つことは当たり前に当たり前になる中で、情報管理の意識が低いと情報漏洩リスクが高まります。しっかりとマニュアルで管理し、レビューシステムの存在を社内に周知するということで、意識の改善・モラル向上につながるのです。

また、情報セキュリティリスクを洗い出し、必要に応じて管理策を設定するため、、情報漏洩の防止が期待できます。

対外的メリットとしては、企業としての信頼感の向上が挙げられます。特に、取引先・顧客の情報を取り扱う企業であれば、情報のセキュリティ管理やその意識は非常に重要になります。

デメリット

デメリットとして挙げられることは、社内の新たな作業工数の発生です。
認証取得自体にも、各種文書を作成し、運用には担当者をつけて厳密に行う必要があるため、従業員の業務負荷となるケースもあります。

また、毎年の審査にはコストがつきものです。ITシステムで対応する場合、システム開発や運用のために単純にコストが増えることもデメリットのひとつといえるでしょう。

ISO27001は取得するのにリソースを費やしますが、適した形で導入することでデメリットを抑え、さまざまなメリットを受けられるでしょう。

ISO27001は自社で取得する?コンサルに依頼する?

さまざまなメリットが期待できるISO27001ですが、自社に合わせた形での導入が必要であるなど取得難易度が気になる方も多いのではないでしょうか。ここでは、自社で取得を目指すのかコンサルに依頼するのか、どちらが良いのか解説します。

自社取得とコンサル取得の詳細は以下の記事をご覧ください。

関連記事:ISO取得の流れを「自社取得」と「コンサル取得」を徹底比較

取得はコンサルに依頼するのがおすすめ

ISO27001の取得をする際には、専門知識や最新の情報を持つコンサルに依頼するのがおすすめです。

専門知識のない状態で一から取得を目指すのはかなりの労力が必要となります。コンサルに依頼することで、支援やアドバイスを受けられるだけではなく、スムーズな取得が可能となるでしょう。

自社で取得を目指す場合

自社で取得するメリットは、やはり見えるコストが抑えられるということが挙げられます。コンサルに依頼すると、その分費用が発生しますが、自社で対応することによりコンサル費用は抑えられるのです。

ただし、外注費のように目に見えませんが、機会損失による見えない損失が発生することにも注意しましょう。

また、ISO27001の取得は長期的に取り組む必要がある上に、通常業務と兼務することが多く実施していく必要があります。そのため、コンサル会社の設定したスケジュールではなく自社のペースで取り組むことができることはメリットのひとつといえるでしょう。

しかし、専門知識がなければ取得までの手順でつまずくことも多く、スムーズに進まない可能性があるというデメリットが考えられます。
自社に必要な箇所と不要な箇所の見極めができずに作業工数が新たに発生する可能性があります。工数だけでなく、コスト面においてもコンサル費用という見えるコストは抑えることができても、人件費という見えづらいコストが多くかかってしまう可能性があります。

コンサルに依頼する場合

コンサルに依頼する場合のメリットは、確実に取得することができるという点が挙げられます。

専門家の支援やアドバイスのもとに進めていくことができるため、効率的に進められるだけではなく、中には自社に合わせた取得の形でISO27001の構築ができるコンサル会社が主導してくれるケースも存在します。

一方で、コンサル費用がかかるというデメリットはありますが、自社で取得する場合にも人件費がかかるため、取得スピードや取得後の運用における円滑さ等を考慮するとコンサルタントに依頼したほうが確実に費用対効果は高いといえるでしょう。

コンサルを選ぶポイント

自社取得よりもコンサルがおすすめですが、コンサルを選ぶ際には、主に以下の4つのポイントに注意しましょう。

  • サービス内容
  • 料金
  • サポート体制
  • 実績

  

ISO27001の取得という目的は同じであっても、コンサル会社によってアドバイスのみを行うタイプや、運用までをサポートしてもらえるタイプなど、サービス内容が異なります。自社の状況に合わせて、どのくらいの予算でどこまで依頼したいのかを明確にした上で、それに合わせたコンサル会社を選ぶことが大切です。

また、サポート体制や過去の実績を確認することで、より良いコンサル会社を選定することができます。
特に、審査員資格をもつISOのプロによる対応が可能か、自社の業務内容に適したマネジメントシステムの構築が可能か、自社に適した審査会社の選定サポートは可能かなどを確認しましょう。

ISO27001に限らず、ISOを取得するためのテンプレートに無理やり企業のマネジメントシステムを当てはめるようなコンサル会社を選択した場合、例え取得できたとしても運用していく中で無理が生じるでしょう。

個々の企業にカスタマイズさせるように構築しつつ、取得後の運用のことまで考えて対応してくれるような、信頼できるコンサル会社を選択しましょう。

関連記事:コンサル選定で押さえるべき4つのポイント
関連記事:ISOテンプレコンサル会社に注意!?3つのデメリットと危険性
累計ダウンロード5,000件突破!ISO27001丸わかり説明資料
  • 無料資料 | ISO27001・Pマーク導入 徹底解説
  • 『ISO27001・Pマークを網羅的に分かりやすく』をコンセプトに、ISOコンサルタント監修のもとISO27001・Pマークについて図解などを交え詳細に解説しています。分かりやすいというお声も多くいただいていますので、ぜひ御社でご活用ください。
  • 必須ご担当者様名
  • 必須電話番号
  • 任意会社名
  • 任意メールアドレス
  • 必須個人情報の取り扱い
    (個人情報保護方針を読む)

ISOプロでは月額4万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。

サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。

ISO27001、40,000円/月から作業工数ほぼ0実現!ISO新規取得・運用完全サポートならISOプロ