【ISO27001入門】規格の詳細から要求事項・取得のノウハウまで徹底解説

iso27001_mainv

ISO27001とは、国際標準化機構(ISO)による情報セキュリティマネジメントシステム(ISMS)に関する国際規格のことです。この規格では情報の機密性・完全性・可用性の3つをバランスよく管理し、組織として情報を有効活用する枠組みを構築していきます。ISO27001を取得することで、情報漏洩のような情報リスクの管理や顧客からの信頼獲得をすることが可能で、業種を問わず取得する組織が増えています。

ISO27001の狙い

ISO27001は、あくまで、「マネジメントシステム(管理体制)」に対する規格であるため、認証することで、セキュリティが向上するといったものではありません。具体的には以下のようなことを目的として取得されるものです。

リスクアセスメント
ここ数年間で急速にIT化が進みましたが、それと同時にインターネットを利用した犯罪も増加しました。しかし、組織として従業員や顧客の情報を保護することは法律でも定められています。このような背景の中で、発生し得るリスクを特定し、そのリスクを分析し、評価する「リスクアセスメント」は非常に重要です。どこから発生するか分からないリスクに優先度をつけ、客観的な事実に基づいてリスク低減措置を行うためにISO27001は活用することができます。
ISMSの確立
情報リスクは、どこから発生するのかということが見えにくいため、その場しのぎのセキュリティ対策ではどうにもならないことがあります。そこで活用するべきなのが、ISMS(情報セキュリティマネジメントシステム)です。個人の能力や責務に依存した情報セキュリティ体制を構築するよりも、あらゆるリスクを想定した組織としての仕組みを構築し、そのシステムを継続的に改善していくことで、より強固なセキュリティ体制を作り上げることができます。

ISMSに対する規格ってどういうこと?「マネジメントシステムに対する規格」というと少し分かりにくいですが、ISO27001を始めとするマネジメントシステム認証は、「組織のルールや体制がちゃんとした状態であること」を保証するものです。この「ちゃんとした状態」とは、一定の基準値を満たすということではなく、「継続的に改善することができる体制かどうか」ということが重視されます。

情報セキュリティの三大要件

ISO27001は、情報セキュリティの三大要件「機密性」・「完全性」・「可用性」という3つの要件が重要視されます。これらはそれぞれどのようなものなのでしょうか。

機密性(Confidential)
機密性(Confidential)

権限のない人間が情報にアクセスしようとするのを防止すること

完全性(Integrity)
完全性(Integrity)

データを最新かつ正しい状態で維持すること

可用性(Availability)
可用性(Availability)

利用できる人間がその情報を利用できる状態を維持すること

ISO27001とPマークは何が違うの?情報セキュリティに関連する規格として、日本国内ではPマークが有名です。では、PマークとISO27001はどのような違いがあるのでしょうか?
最も大きな違いは、その適用範囲です。ISO27001は全ての情報資産に対して適用されるものであるのに対して、Pマークは個人情報に特化した規格です。

ISMS/ISO27001

情報資産を様々な脅威から守り、リスクを軽減させるための総合的な情報セキュリティ・マネジメントシステムです。

  • B to Bの事業を行ってる企業向け
  • 情報保護を確率する国際規格
  • 要求は情報の機密性・可用性の維持
  • 取得組織数 : 約5,000組織
Pマーク(プライバシーマーク)

個人情報について適切な保護措置を講ずる体制を整備している事業者等を認定してその旨を示すプライバシーマークを付与される制度です。

  • B to Cの事業を行ってる企業向け
  • 個人情報に特化した国内での規格
  • 要求は適切な個人情報の取扱(提供など)
  • 取得組織数 : 約15,000組織

ISO27001の要求事項の解説

組織の状況
  • 組織における状況理解のための、内部及び外部の課題を決定します。
  • また、利害関係者として、内部の従業員や、外部の各取引先、近隣住民などの特定を行い、そのニーズや期待の把握を行います。
  • ISMSの適用範囲を定めるために、物理的(所在地や組織)および技術的(情報および情報に関連する資産)な境界性を明確にします。その際、上記の内部および外部の課題を考慮する必要があります。なお、適用範囲は、文書化して管理しなければなりません。
リーダーシップ
  • トップマネジメントは、ISMSに関するリーダーシップと規格要求事項に記されているコミットメント(責任をもって達成することを確約すること)を実証することが求められます。
  • トップマネジメントはISMSの目的や方向性を示す活動の枠組みとして情報セキュリティ方針を確立し、文書化します。この方針は組織内に伝達し、また利害関係者が入手できるようにします。
  • ISMSを運用するために各階層で必要な役割を定めて、責任及び権限を割り当てます。
  • トップマネジメントはマネジメントシステムの機能について責任を持ちます。
計画
  • ISMSの計画を策定するとき、組織の課題から対処するリスクおよび機会を決定しなければなりません。
  • 対処する具体的なものには、ISMS全体の活動、情報セキュリティ目的の達成のための計画、リスク対応計画などがあります。
  • さらに、情報セキュリティのリスク基準を確立し、リスクを特定、分析および評価しなければなりません。
  • 情報リスクアセスメントの手順を定めなければなりません。
  • リスク許容基準は、トップマネジメント等が決定し、情報セキュリティリスクを特定しなければなりません。
  • リスク分析により、資産におけるリスクレベルの算出を行います。
  • 決定したリスクレベルとリスク基準によりリスクレベルを評価しなければなりません。
  • リスクレベルを考慮し、リスク対応計画に反映しなければなりません。
  • 以上、情報リスクアセスメントは、文書化した情報を保持しなければなりません。
  • 情報セキュリティリスク対応のプロセスを定め、リスク対応の選択肢を設定し、管理策を決定、適用宣言書及び情報セキュリティリスク対応計画を策定しなければなりません。
  • 情報セキュリティ目的を達成するための目的を定め、達成するための実施計画を策定し、達成に向けての活動およびその結果は、文書化した情報を保持しなければなりません。
支援
  • ISMSに必要な資源を決定し、明確にしなければなりません。また、資源を組織内に確実に提供しなければなりません。
  • ISMSの推進、情報セキュリティの実施および運用に携わる者に必要な力量を決定しなければなりません。当該力量が備わるよう教育訓練の計画を策定し、計画的に実施しなければなりません。また、実施した内容の資料を保管しなければなりません。
  • ISMSに関する内部および外部のコミュニケーションの内容、実施時期、対象者、実施方法を決定し、実施しなければなりません。
  • また、当該規格が要求しているISMS文書、記録を管理しなければなりません。
  • 文書化した情報の作成および更新の手順を定め、レビューをし、文書化した情報を更新した際には、適切な再承認を行わなければなりません。
  • 適切な版が利用可能な状態であり、旧版の保持または廃棄をしなければなりません。
  • 配布、アクセス、検索および利用を管理しなければなりません。
運用
  • リスクおよび機会に対する活動(リスクアセスメントおよびリスク対応)の計画を実施しなければなりません。
  • また、計画の変更管理や意図しない変更によって生じた結果をレビューしなければなりません。
  • 外部委託したプロセスの特定をし、業者の評価を定期的に行い、契約を締結しなければなりません。
  • 定期的に情報リスクアセスメントを実施し、重大な変化が生じた場合は、情報リスクアセスメントを実施しなければなりません。
パフォーマンス評価
  • 情報セキュリティパフォーマンス評価(求められる要求事項および期待に対して、どの程度の運用管理された状態であったかを評価する活動)と管理策のパフォーマンス評価(影響の大きいインシデントの発生回数や管理策を必要とする資産の消失によるその能力の必要性の評価)を行わなければなりません。
  • 監視および測定の結果は、文書化した情報を保持しなければなりません。
  • 少なくとも1年に1回は内部監査を行う必要があります。
  • また、内部監査の計画として、監査基準および監査範囲を明確にしなければなりません。
  • 内部監査の結果は、記録に残し、トップマネジメントへのインプットが求められます。
  • トップマネジメントは、下記の事項に対する、レビューを少なくとも年1回しなければなりません。
  • 過去のマネジメントレビューに対するフォローアップの状況
  • ISMSに関する内部および外部の課題の変化
  • 不適合および是正処置、監視および測定の結果、監査結果、
  • 利害関係者からのフィードバック
  • リスクアセスメントの結果およびリスク対応計画の状況
  • 継続的改善の機会
  • 以上の、マネジメントレビューの結果は記録し、保管しなければなりません。
改善
  • 不適合が発生した場合の是正処置(再発防止のための処置)の手順を明確にし、速やかな修正(適合の状態に戻す処置)と、その結果の影響を把握し、フォローし、その結果を記録しなければなりません。
  • また、リスクアセスメント、リスク対応計画、情報セキュリティ実施計画、不適合への是正処置を通して、情報セキュリティの改善を行わなければなりません。
附属書A
  • ISMSの114の管理策が規定されています。リスク対応のための管理策をまとめたものが適用宣言書となります。
  • 管理策は、組織的対策、人的対策、物理的対策、技術的対策として構成されております。
  • 組織で定めた情報セキュリティリスク対応管理策と当該附属書Aで示す管理策と比較し、必要な管理策が見落としないかを検証しなければなりません。
  • A.5は、情報セキュリティのための方針として、経営陣の方向性を示し、その目的を定義
  • しています。当該目的のための正式なルールを周知し、維持することが求められます。
  • A.6は、情報セキュリティを管理するための組織的な整備が必要になります。そのために
  • 責任や権限を定め、割り当てをしなければなりません。
  • また、組織におけるモバイルの取扱いおよびテレワークにおけるセキュリティの目的を
  • 定義しています。
  • A.7は、人的セキュリティとして、従業員の採用に当たって、情報セキュリティに関する
  • 役割や責任を明示した雇用契約を交わすことが求められます。
  • 具体的には、機密保持誓約書などへの署名が必要となります。
  • また、情報セキュリティの取組みにおける責任の認識してもらうための教育訓練および違反時における罰則を定めなければなりません。
  • 更に、従業員が退職する際における情報漏洩、情報持出を防ぐ取組みをしなければなりません。
  • A.8は、資産の管理として、資産の把握と、資産の保護の責任を求めています。
  • 退職時等において、資産の確実なる返却に関する管理策が必要となります。
  • 情報資産の重要度に応じてセキュリティ対策の実施をしなければなりません。
  • 情報を保存している媒体における不正閲覧、改ざん、破壊等を防止するために、取り外し可能な媒体に関する管理、媒体の処分、システムに関する書類に関するセキュリティの管理策を行わなければなりません。
  • A.9は、アクセス制御として、情報や情報処理設備のアクセス制限を行うことによる管理が求められます。そのためのルール設定や、許可されたネットワークのみを利用者に提供する、アカウントの管理を徹底しなければなりません。
  • 利用者にもパスワード管理を徹底させ、許可されていない利用者の不正アクセスを防止させる管理策も求められます。
  • A.10は、暗号の管理策として、情報の機密性、真正性、完全性の保護のために暗号化キーやパスワードの管理を徹底することが求められます。
  • 管理策に関する個別方針、かぎ管理における管理策を行わなければなりません。
  • A.11は、物理的および環境的セキュリティとして、情報の盗難、不正閲覧、情報の持出、情報施設の不正侵入等の物理的なリスクを防止することが必要となります。
  • そのために、セキュリティ上の境界と、必要な入退室管理策や、覗きなどによる外部からの保護や、情報システムの隔離に関する管理策が求められます。
  • サーバーおよびパソコン等装置へのアクセスや損傷に対する保護や、電源設備や空調などインフラの異常に対する保護、ケーブル配線の保護、情報装置の保守、装置の修理や処分、再利用等、敷地外での管理策も求められます。
  • A.12は、運用のセキュリティとして、セキュリティ対策を施した情報システムの確実な運用のための操作手順書や、それらの変更管理、開発施設、試験施設および運用施設の分離などの管理策が求められます。
  • また、ソフトウェアおよび情報の完全性を保つため、ウィルス、ワーム、スパイウェア等から保護に関する管理策も求められます。
  • さらに、データを消失から保護するためのバックアップに関する管理策も施す必要があります。
  • ログの記録を行うことは、情報システムの監視、インシデント発生時の重要な証拠としての重要なものとなります。
  • 情報システムにおける技術的脆弱性に対する管理対策を行うことも重要です。
  • A.13は、通信のセキュリティとして、ネットワーク保護に関する管理策が求められます。
  • 情報の転送の際にその紛失、改ざん等の危険性があるため、そのリスクに関するセキュリティの管理策が必要となります。
  • A.14は、システムの取得、開発及び保守の情報システムに対するセキュリティ要求事項の分析を行い、明示することに関する管理策が求められます。
  • 業務システムの開発、運用についても管理策が必要となります。
  • また、情報システムの試験データ、検証データの保護を確実に行わなければなりません。
  • A.15は、供給者関係として、取引先や、協力会社等の外部組織が情報処理施設へのアクセスに関する管理や、それに伴う脅威に関する管理策が求められます。
  • 外部組織のセキュリティレベルが要求事項を満たしていることへの合意と契約、およびその順守状況の監視を管理しなければなりません。
  • A.16は、情報セキュリティインシデント管理として、インシデントを管理する仕組みを行う必要があります。
  • インシデントが起きたときの影響を最小限にすることが需要であります。そのため、セキュリティ事故の報告および対処に管理策が求められます。
  • A.17は、事業継続マネジメントにおける情報セキュリティの側面として、事業継続に影響を及ぼすインシデントや天災事変が発生した場合、速やかに復旧作業を行うことにより、顧客への製品及びサービスの供給することにより、事業を継続することが重要です。
  • そのための事業継続計画の策定が求められます。
  • また、情報処理設備の導入に対する可用性を考慮し、冗長性も検討する必要もあります。
  • A.18は、順守として、情報セキュリティの法、ガイドライン、契約上の違反を行わないよう、順守するための管理策が求められます。
  • また、定められた手順通りにセキュリティ対策が実施されるよう、情報セキュリティの技術順守についての管理策も必要となります。

ISO27001を取得するまでの流れ

適用範囲の決定

STEP1適用範囲の決定

ISMSの適用範囲を限定することができます。適用範囲を決定するために、組織の状況や利害関係者のニーズなどを洗い出します。

組織体制の確立

STEP2組織体制の確立

情報セキュリティマネジメントシステム(ISMS)構築にあたって推進体制を確立します。

組織の課題、リスク及び機会、目標の設定

STEP3組織の課題、リスク及び機会、目標の設定

組織における情報セキュリティの取り組みに関する基本方針を決定します。

情報資産の洗い出し、リスクアセスメント

STEP4情報資産の洗い出し、リスクアセスメント

組織の情報を踏まえて適用範囲の中で取り扱う情報資産を洗い出し、情報セキュリティの三大要素を維持することを不確実にするリスクや、リスクの対応方針を決定します。

文書構築(同時進行)

STEP5文書構築(同時進行)

各種マニュアル文書を作成していきます。この作業を文書化といいますが、文書化はISO27001の要求事項も踏まえて作成していく必要があります。

内部監査

STEP6内部監査

ISMSの運用がルール通りにできているかということを確認します。内部監査によって問題が指摘された場合は改善策を講じます。

マネジメントレビュー

STEP7マネジメントレビュー

ISO27001取得までの活動の集大成として、トップマネジメントに対して活動の報告を行います。改善の必要性や追加で想定し得るリスクについて検討を行い、さらに改善策を実施していきます。

認証審査

STEP8認証審査

第三者機関によって、ISMSの審査が行われます。第一段階では文書化したものが規格に適合しているか、第二段階では現場で情報セキュリティ上のリスクがないかの審査が行われます。

認証取得

STEP9認証取得

審査の結果、規格に適合していると認められた場合は認証取得となります。審査の結果、不備があった場合は是正措置を実施し、実施したことを審査機関に報告することで認証取得となります。

今ISMSが求められる理由

サイバー犯罪の検挙件数の推移この現代社会、ITシステムやネットワークは私たちの生活に必要不可欠な存在であり、個々人が持つ携帯電話などの情報デバイスを通していつでもどこでも情報にアクセスしたり、電子決済などネットワークを利用したサービスを受けることができるようになりました。
しかし、生活の利便性が向上した反面、ITシステムやネットワークを悪用する動きもあり、個人、法人を狙うサイバー犯罪が年々向上しています。

サイバー犯罪の驚異に気をつけておきたい中小企業特に注意をしておきたいのは『中小企業』です。中小企業は取引先の大手企業の“情報”を扱っていることが多く、大手企業のようにセキュリティにに詳しい人材が不在の会社が多いことから、悪意のあるユーザーは、「セキュリティが弱いところから攻撃を行い、連鎖的に大企業の情報漏えいへと繋げる」ことを目論んでいます。
実際に中小企業の情報セキュリティに対する意識は低く、そこから発生する被害も多いことが上記のグラフから伺えます。
このような状態を改善するためにも中小企業のISMSの取得、情報セキュリティへの意識向上が求められており、情報セキュリティに対するマネジメントシステムを構築することで、情報リスクの低減および取引先への信用を勝ち取ることが求められます。

ISO27001を取得するメリット

ISO27001を取得すると企業に対してどのようなメリットが生まれるのでしょうか?
企業がISO27001を取得すると、クライアントの企業から情報セキュリティの管理が出来ている企業だと社会的信用が確立され、営業がやりやすくなります。それと同時に、社員の情報セキュリティに対する意識が向上し、個人情報保護法のほか、法令遵守やコンプライアンスに社員の意識付けが可能です。
また、情報セキュリティ特有の規格から、情報セキュリティ事件が発生すれば企業の存続を揺るがしかねないことからセキュリティリスク対策に取組むうえで重要な経営課題のひとつにメリットとして考えられます。

ISO27001はどんな企業が取得しているの?ISO27001は“情報”を扱うサービス業の企業が取得していることが多いです。一概にサービス業といっても接客業や運送業、IT系などさまざまあり、そこで顧客情報や情報資産を管理する兼ね合いから、ISO27001やPマーク、ISMSの取得をしています。
取得することで、その企業の顧客から社会的な信用が確立され、情報セキュリティを守る会社として認められ、仕事を行いやすくなります。また、公共事業でも最近では、品質よりも情報セキュリティに関する対応が求められており、ISO27001、Pマーク、ISMSを取得することで、公共事業の仕事も受けやすくなります。

  • WEB系企業
  • IT企業
  • セキュリティ会社
  • イベント会社
  • 販売業
  • 人材派遣業

ISO27001についてもっと詳しく知ろう

ISO27001の人気記事