ISO27001取得の流れとメリット・デメリット

投稿日:

ISOプロ担当者

最終更新日: 2018年12月17日

03296b0dc8f905069a76056b80a28c26_s

ここでは、組織において様々な情報資産を守り有効に活用するマネジメントシステムの国際規格であるISO27001に関してご紹介していきます。

ISO27001は、近年問題視されることも多い情報漏えいの事故などを防ぐ意味でも、多くの組織が認証を受けている規格です。情報に関する社員のモラル向上や、企業競争力の強化にもつながるため、情報サービス産業に属する組織の方は必見です。

それでは、ISO27001の概要と代表的なメリット・デメリットをご紹介していきましょう。

ISO27001とは?

ISO27001は、組織の情報資産を守り、有効に活用するためのマネジメントシステムの国際規格です。

そもそも、組織における情報資産のセキュリティを管理するための枠組みである情報セキュリティマネジメントシステム「ISMS(Information Security Management System)」の標準がISO 27001及び、それと同等なJIS Q 27001と規定されています。

ISO27001は、情報の「機密性」「完全性」「可用性」という3つの項目をバランスよくマネジメントし、情報を有効に活用するための組織の枠組み作りが目的です。

なお、それぞれの項目は以下のように定義されています。

・【機密性】悪意のある利用や人的ミスを防ぐためのアクセス権等の設定

・【完全性】意図しない情報の変更を防ぐために行う改ざん防止策やウイルスの検出ソフトの導入

・【可用性】必要な時に情報を参照できるようにバックアップや複数台の端末の準備

どういった企業が取得している?

ISO27001の取得に業種は問いませんが、ソフト開発の委託を受けている企業や、未発表の情報を顧客から預かるような企業、広告制作をされている企業などは取引先から、特にニーズがあります。

ISO27001はプライバシーマーク(Pマーク)より対象範囲の設定に柔軟性があるため、大企業はISO27001取得を選択するケースが多いです。

ISO27001取得の流れは?

ISO27001は、企業全体で認証を取得することもできますが、部署ごとに認証を受けることも可能です。

まずISO27001を、社内のどの範囲で適用すべきが決定した上で、組織にとって必要のある部署や領域を明確化しましょう。

セキュリティに対する方針を作成したら、前述した「機密性」「完全性」「可用性」の3つの観点で方針を定めた文書を作成、それを基に社員への教育を実施してください。

社内で運用、内部監査担当者によって実施状況などをチェックし、現状のセキュリティ対策で満たせているか、マネジメントレビューなどを実施します。

その後、審査機関による審査が行われるという流れです。第三者機関による文書審査と、社内での実施状況のチェックなどの現場審査があります。

ISO27001取得のメリット

それでは、ISO27001を取得するメリットを見ていきましょう。まず、社内的に挙げられるメリットは従業員の意識の変化です。多くの業態において、モバイル端末を持つことは当たり前になりつつあるため、情報管理の意識が低いと情報漏えいリスクが高まります。

しっかりとマニュアルで管理し、レビューシステムの存在を社内に周知するということで、意識の改善・モラル向上につながるのです。
もちろん、実際にセキュリティに関するリスクの低減も挙げられます。
一定程度のセキュリティ管理を維持することが可能なため、情報漏えいの防止が期待できるのです。

対外的メリットとしては、企業としての信頼感の醸成が挙げられます。特に、取引先・顧客の情報を取り扱う企業であれば、情報のセキュリティ管理やその意識は非常に重要になります。

例えば、社用端末持ち出しの禁止などのルールもここに含まれますが、こういったルールを厳密に敷いているということ自体が信用となり、取引の安定化につながるのです。

ISO27001取得には、情報リスクの低減や、社員の情報セキュリティ意識・モラルの向上、また、業務効率の改善や組織体制の強化、法令順守の推進などが挙げられます。
情報に直結する企業であれば、企業競争力の強化にもつながるでしょう。業種によっては、官公庁の入札や取引企業の要請への対応ができるようになります。
加えて、説明責任を果たすことができる点も大きなメリットです。

組織の責任や活動内容をビジネス相手に説明する場合、ISO27001を取得していることを伝えれば、システムの可視化などを十分に説明できると考えてよいでしょう。

ISO27001取得のデメリット

デメリットとして挙げられることは、社内の新たな作業工数の発生です。
認証取得自体にも、各種申請の様式を作成し、運用には担当者をつけて厳密に行う必要があるため、従業員の業務負荷となるケースはあります。
デメリットとして挙げられることは、社内の新たな作業工数の発生です。

また、毎年の審査にはコストがつきものです。ITシステムで対応する場合、システム開発や運用のために単純にコストが増えることもデメリットの一つといえるでしょう。商談資料や情報端末の持ち出しが部分的にでも禁止されるという意味では、担当者に不便が生じることもデメリットとして挙げられます 。

まとめ

さて、ここまでで組織において様々な情報資産を守り有効に活用するマネジメントシステムの国際規格であるISO27001の概略、取得の流れ、そして、メリットとデメリットをご説明いたしました。

デメリットは工数とコストですが、情報漏えいの防止をすることで取引先からの信頼が得られ、企業イメージの向上にもつながります。
ぜひ一度ISO27001の取得を検討してみてはいかがでしょうか。

ISOプロでは月額4万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。

人気記事( ISO27001コラム一覧)

1 text_contents05
2 ssl
3 EYE-1
4 checklist-2470307_960_720 (1)
5 無題5
6 photo-1509803874385-db7c23652552 (1)
7 00000
8 5aff54b4714e9006fb985d0a02457112_s

関連するおすすめ記事