保存版!ISMSを取得するためには?費用と手順と注意点

iso-pro-course_08

企業の持っている資産には様々なものがありますが、その中でも個人情報や機密情報といった情報資産の重要性がこの情報化社会の中で高まってきています。こうしたプライバシーの保護や情報漏洩を防ぐためには、セキュリティ管理が非常に大切ですが、皆様の会社では、しっかりと情報セキュリティのルールは整備されておりますでしょうか?

今回はそんな情報資産を保護するために大切な情報セキュリティに関してのISO規格、ISO27001(ISMS認証)についてご紹介していきます。

ISMSと情報セキュリティの3要素

ISO27001(ISMS認証)とは、国際規格の1つで、企業における情報セキュリティを管理する仕組みのことを言います。「機密性」「完全性」「可用性」といった3つの要素から情報セキュリティは成り立っており、この3つの要素を満たすことでISMSの認証を取得することが出来るのです。

いきなり出てきたこの3つの言葉、なかなか聞き馴染みがない言葉だと思いますが、その意味自体はさほど難しくありません。

まず「機密性」ですが、簡単に言うと企業が持っている情報が外部に漏れないように管理・保護しましょうということです。たとえばPCに各自でパスワードをかけることや、フォルダのアクセス権限を関係者のみに制限するといったことがこの機密性の対策にあたります。

続いて「完全性」。こちらは持っている情報が常に新しく正しい状態であることを指します。利用する情報が古かったり間違っていたりしたら何の意味もありませんよね?そうしたことを防ぐために、定期的に情報の確認や更新を行う、データが改ざんされないようセキュリティ対策ソフトを入れて保護することなどがこの完全性の対策になります。

最後3つ目の「可用性」。これは、情報を使いたい時に使えるような状態にしておくということです。いくら大切な情報といえども、必要な時に必要な人が使えなければ意味がありません。システムダウンや自然災害時にもすぐに復旧できるようバックアップを取ったり、個人情報や機密情報が管理されているキャビネットを整理したりすることなどがこの可用性の対策になることでしょう。

ISMSの認証取得までの道のり

そんな情報セキュリティの3要素を満たすことが大切なISO27001(ISMS認証)ですが、認証を取得するために他にはどういった準備を行う必要があるのでしょうか?

①適用範囲を定める

まずはISMSの適用範囲を決める必要があります。ISMSは全社で取得することも可能ですが、1つの部署や1つの支店単位でも取得が可能です。そのため、全社で取得するのか、まずは1つの部署や支店から取得をするのか、決める必要性があります。

②情報セキュリティ方針を決定する

次に、会社の情報セキュリティに関する基本的な取り組みや原則を定めた基本方針を定める必要があります。方針を決定する際には、情報保護に重点を置くのか効率性に重点を置くのかなど、様々な点から考慮しましょう。

③ISMSの体制を確立する

方針と適用範囲を決めたら、次は決定した適用範囲をベースにISMSの社内体制を確立することが必要です。管理責任者や監査責任者などを決定しましょう。

④ISMS文書の作成

ISMSに関連して適用する管理目的や管理策を記述した適用宣言書やマニュアルなど、ISMSを管理していくための手順や管理策を文書化していきます。

⑤情報セキュリティリスクアセスメントの実施

また、会社の特性に応じたISMSを構築するためには、情報セキュリティリスクアセスメントを実施する必要があります。

個人情報や顧客情報など、社内にどういった情報資産が存在しているのかを洗い出し、台帳を作成します。その上で、ISMSで定められている114個の管理策要求の適用を検討、分析し、その上で対応策を検討しましょう。

⑥ISMSの導入教育

そうして構築したISMSのマネジメントシステムを実際の業務の中で生かすための教育やISMSを効果的に運用するために周知をしていきます。

⑦内部監査

ISMS運用がスタートした後、きちんと取得範囲の中でルール通りにISMSの運用が実施されているかどうかの内部監査を行いましょう。

⑧マネジメントレビュー

ISMSの集大成として、経営陣に対して活動の成果報告や今後の改善について話し合う、マネジメントレビューを実施します。

⑨審査

そしてようやくISMSの認証取得のための準備が終わり、認証を取得するたに、2回に及ぶ審査を受けることになります。

この審査では、認証機関からISMS規格を満たしているか審査され、問題なく運用されていることが確認されることで、ここでようやくISMSの認証取得となるのです。この認証完了に至るまでには、おおよそ半年から1年の時間を費やす事になります。

ISMSを取得することのメリット

では、ISO27001(ISMS認証)を取得するための流れについて理解した上で、そのISMSの認証を取得すると一体どんなメリットが得られるのでしょうか?

まず大きなメリットとして挙げられるのが、なんと言っても取引先などに情報セキュリティに対する意識の高さをアピールすることが出来るということです。第三者の立場である認証機関にISO27001に適合した運用ができているかどうか審査されることで、他社に対し「自社でしっかりと情報セキュリティについて取り組みを行っている」というアピールができます。また、企業としての信用性がアップし、安心感を与えることも出来るでしょう。

続いて挙げられるメリットは、従業員の情報セキュリティに対する意識の向上が見込めることです。ISMSの認証取得にあたって、情報セキュリティに関するルールの作成や社内周知を行う必要が出てきます。それまではなんとなく行っていた情報セキュリティに関して、ISMSの取得は従業員の中で意識を向上させる絶好の機会になるでしょう。また、ISMSでは運用の取り組みの中に教育や内部監査の実施が求められており、自分たちのセキュリティ管理に対する行動や意識に関して間違っていれば改める機会が設けられます。

最後に挙げるメリットが、情報セキュリティのリスクが低減されるということです。情報セキュリティ管理のための規格なので、当たり前といえば当たり前のことですが、ISMSの認証を取得し、しっかりと運用していくことで情報セキュリティのリスクを低減することが出来るでしょう。ISMSの規格の中では、組織の中にある個人情報や機密情報などの情報資産や業務フローをもとに、定期的なリスクアセスメントを実施することを求めています。情報セキュリティリスクを把握し、そのリスクへの対応の計画を立てることで、今まで対応に取り掛かれていなかったことや無視してきたことだけでなく、今まで気づけていなかった問題点を把握することも出来るのです。

ISMSを取得するためにはそれなりの費用がかかってしまう

ではそんなメリットのあるISO27001(ISMS認証)を取得するためには一体どのくらいの費用がかかってくるのでしょうか?

ISMSは、ISO9001(品質)やISO14001(環境)といった他のISO規格と同じく、ISOの認証登録料、文書審査料、実地審査料といった認証取得費用がかかってきます。この認証取得費用は、利用する審査会社や、申請を行う会社の規模によっても料金設定に幅があり、最低規模の審査でも50万円~100万円ほどの費用が必要です。

また、ISMSを継続するための費用、つまりランニングコストもかかってきます。ISMSでは取得した後も毎年1回の維持審査があり、また3年に1度維持審査の代わりに更新審査が行われます。このISMSを維持するための維持・更新審査費用の目安ですが、維持審査は認証登録時の約3割、更新審査は登録時の約6~7割の料金が発生すると考えておきましょう。

その上で、ISMSの認証取得や運用を支援するコンサルティング会社を利用する場合は、そのコンサル費用も別途かかることになります。

ISMSを取得するためには費用も時間もかかるけど…

このようにISO27001(ISMS認証)を取得するためには決して少なくない時間が必要になります。

ですが、情報セキュリティに関してしっかりと取り組みを行っていくことが昨今の情報化社会では求められており、たった一度の情報漏洩によって会社が倒産してしまうというような事態は決して珍しい話ではありません。しっかりと規格に沿った情報セキュリティを構築・運用し、定期的に第三者機関の審査を受けることで、そうしたセキュリティリスクを大幅に低減することが出来ます。企業の未来を守っていくためにも、個人情報や顧客の機密情報などを扱うような業務であれば、一度ISMSの導入を検討してみてはいかがでしょうか?

ISOプロでは月額4万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。

関連するおすすめ記事