よくあるご質問 - 初めての方

よくあるご質問一覧

日本で取得したISO認証は海外でも有効なの？

ISOの認証はマネジメントシステムに対して登録されるものであるため、海外市場向けにアピールすることも可能です。ただし、日本の支社をマネジメントシステムの適用範囲とした場合、海外の支社は認証の有効範囲とならないため注意しましょう。

認証機関と認定機関の違いって何？

認証機関はISOの認証を取得しようとする組織を審査し、マネジメントシステムが規格に合致しているかどうかということを審査し、登録する機関です。認定機関はその認証機関が国際的な基準を遵守して審査を行うことができる力量があるか、公平性や透明性を維持しているかということを評価し、認証機関として認定する機関です。

是正処置と予防処置の違いって？

是正処置は規格に不適合があった後に検出された不適合に対して対策を取るものです。一方の予防処置は起こり得る不適合を予測し、事前に対策を取るものです。また、2015年の改定で、すべての規格で予防処置といった言葉は廃止され、リスクと機会に置き換えられています。

マネジメントシステムの有効性ってどういうこと？

有効性とは、マネジメントシステムが計画した活動が計画通り実行されており、PDCAサイクルがしっかりと回っており、マネジメントシステムの意図した成果が得られる状態にあることを指します。

規格適合性ってどういうこと？

構築したマネジメントシステムが、規格の要求すること（要求事項）を満たしていることを保証することです。

ISO27018とISO27017の違いって何？

ISO27018とISO27017はどちらもクラウド・セキュリティに関するISO27001のアドオン規格ですが、ISO27018はクラウドサービス提供者を対象とした規格であり、一方のISO27017はクラウドサービス利用者・サービス提供者両方を対象とした規格です。

適用範囲は自由に決めていいの？

ISOのマネジメントシステム規格では、適用範囲は組織に決定権が委ねられているものの、「組織内外の課題」および「利害関係者の要求事項」を考慮する必要があり、適用範囲の決定にはこれらを根拠とする必要があります。つまり、組織の保有する課題や事業形態によって適用範囲を自由に決めることはできますが、そこには合理的な根拠が必要になります。合理的な根拠なく、「取得が容易だから、全社を適用範囲にすると面倒だから」などという理由で適用範囲を決定することはできません。

情報セキュリティの機密性って何？

機密性とは、情報にアクセスしても良い人以外は情報にアクセスできない状態を保証することです。機密性は、マルウェアや情報漏えいによって損なわれる可能性があります。

情報セキュリティの完全性って何？

完全性とは、データや情報が全て揃っていて、欠損や不具合がなく最新の状態であることを保証することです。完全性は、例えばご入力やマルウェアによるデータ破壊によって損なわれる可能性があります。

情報セキュリティの可用性って何？

可用性とは、システムが継続して稼働できる度合いや能力のことを指します。裏を返せば「利用者がシステムやデータを利用できる」度合いのことです。情報セキュリティマネジメントシステムでは、「情報にアクセスしたい時にアクセスできる状態であること」と理解しておけば良いでしょう。可用性は、サーバーの不具合や自然災害によって損なわれる可能性があります。