• ISO27001は情報セキュリティマネジメントシステムに関する規格である
  • ISO27001規格のISMSでは、機密性、完全性、可用性の3つをバランス良く管理する
  • ISO27001は、IT業、運送業、廃棄物処理業のような重要な情報を取り扱う可能性が高い業種で主に取得されている

ISO27001 とは企業などが取り扱う“情報資産”を管理する情報セキュリティマネジメントシステムISMS )に関する国際 規格 です。情報セキュリティシステムの三大要件と言われる「機密性 」、「完全性 」、「可用性」の3つの要件を継続的に改善を行うことで、「情報セキュリティに強い企業」を作り上げていくことができます。
また、 ISO 27001を取得することで対外的アピールはもちろん、社員の情報セキュリティに対する意識向上や業務効率化花ぜんなどのコスト削減も向上します。
このページでは、ISO27001の全体像をシンプルかつ理解しやすいようにまとめているので、これからISO27001を取得するにあたって何をどのように理解すればよいのか解説していきます。

そもそもISOとは世界基準のモノサシです。
ISO27001は企業や組織が所有する情報資産を守る『情報セキュリティ』に携わるものです。
そもそもISOとは?

ISO27001とは?


ISO27001とは、国際標準化機構による規格のひとつです。『情報セキュリティに対応するための仕組みを評価するガイドライン』のことであり、組織が扱う情報資産に対する、情報セキュリティマネジメントシステムに関する規格です。
この規格は情報の「機密性」「完全性」「可用性」の3つをバランスよくマネジメントしていくためのものです。

累計ダウンロード3,500件突破!ISO27001丸わかり説明資料

情報セキュリティマネジメントシステムって何?


情報セキュリティマネジメントシステム(ISMS)とは、組織の情報セキュリティに対するリスク低減を実現するために管理・監督するためのシステムです。
つまり、「情報セキュリティ」を担保し、リスク低減を目指すための「組織の仕組み」が情報セキュリティマネジメントシステムです。
無理やりセキュリティを高めようとしてもうまくいきません。情報セキュリティマネジメントシステムを導入することで、継続的な改善を円滑に実行することができるのです。

ISMSとPMSの違い


情報セキュリティと聞くとPマーク(プライバシーマーク)を連想する方も多いかと思います。しかし、情報システムマネジメントシステム(ISMS)と個人情報保護マネジメントシステム(PMS)は別物なのです。ISMSが対象としているのは企業や組織が所有する「情報資産」。PMSは「個人情報」が保護対象となります。ここではPMSについて簡単に説明します。

個人情報保護マネジメントシステム(PMS)とは、個人情報の「漏えい」「紛失」「滅失・毀損」「改ざん、正確性の未確保」「不正、不適正取得」「目的外利用・提供」「不正利用」の求めなどの拒否」を防ぐために管理・監督するための「開示等システムです。
個人情報保護法に基づいた、厳格な対策を導入することで、個人情報に対するリスクを排除することを目的としています。
Pマーク入門

ISO27001要求事項

要求事項とは、ISO27001を取得するために企業が実現すべき基本的な要件のことです。
これからISO27001を取得しようとする企業や既に運用している企業はこの要求事項の要件を満たしておく必要があります。
ISO27001の要求事項では、製品やサービスの仕組みや管理方法などのプロセスがきちんと動いているのかを判断します。

1.適用範囲
2.引用規格
3.用語及び定義
4.組織の状況
5.リーダーシップ
6.計画
7.支援
8.運用
9.パフォーマンス評価
10.改善
附属書A

情報セキュリティ目的・情報セキュリティ方針

ISO27001を構築するにあたって、決定の基準となる『情報セキュリティ方針 』と構築に向けて具体的に達成すべき『情報セキュリティ目的 』の2つを定める必要があります。
情報セキュリティ方針は、より安全でありより安心して利用できる情報セキュリティの方針を決めることです。構築時に情報セキュリティが保つことができるように問題がないかレビューを行い、安全性を維持しなければいけません。
情報セキュリティ目的は情報セキュリティ方針と調合性が取れた具体的な目標のことです。どうしても認証取得が目的になってしまいがちな部分ですが、あくまでも情報セキュリティを高め、悪意のある第三者からの攻撃を防ぐことを意識しなければいけません。

関連記事

ISO27001の情報セキュリティ目的・情報セキュリティ方針とは?

ISO27001規格の情報セキュリティマネジメントシステムを構築するためには、最初にやるべきことがあります。適用範囲の決定、情報セキュリティ方針の確立、そして、情報セキュリティ目的の決定です。 …

累計ダウンロード3,500件突破!ISO27001丸わかり説明資料

情報セキュリティの三大要素


ISMSを構築するために、重要な「機密性」「完全性」「可用性」について説明します。

  • 機密性とは、情報が漏れないように管理しましょうということ。
  • 完全性とは、保有している情報を正確かつ最新状態で管理しましょうということ。
  • 可用性とは、使いたいときに使える状態で管理しましょうということ。

これらのバランスが悪いと、業務に悪影響がでることもあります。

機密性(Confidential)

権限のない人間が情報にアクセスしようとするのを防止すること

関連記事

アクセス権限を持つ者だけにアクセス権限を付与する「機密性」とは

情報セキュリティ3要素の一つである『機密性』とは、企業や組織が所有する情報資産に対して、“決められた人以外は情報にアクセスできないようにすること”を言います。企業や組織が所有する情報資産には「顧客や従…

完全性(Integrity)

データを最新かつ正しい状態で維持すること

関連記事

【情報セキュリティ】「完全性」を確保するためのやるべき5つのこと

情報セキュリティ3要素の一つである『完全性』とは、企業や組織が所有する情報が正確であり、最新の状態であることを示す言葉です。 例えば、企業がお客様の個人情報を管理していた場合、その個人情報は正確で最…

可用性(Availability)

利用できる人間がその情報を利用できる状態を維持すること

関連記事

情報セキュリティの三大要素である「可用性」の考え方について知る

情報セキュリティ3要素の一つである『可用性』とは、企業や組織が所有する情報資産に対して安定した環境でいつでも情報を引き出せる環境を整える指標です。 例えば、企業が所有する情報資産を社内サーバーで…

ISO27001のアドオン(拡張)規格


ISO27017、27018といった規格も新たにできてきています。
ISO27017とは、ISO27001の中のクラウドセキュリティに焦点を絞った規格です。
ISO27018とは、ISO27017の中の個人情報に焦点を絞った規格です。
これらは、ISO27001に包括されたものではありますが、自社の事業特性を考慮し、必要があれば取得する企業も増えてきています。

どのような目的で取得されるのか

取引先からの要求

ISO27001はは世界で評価される国際規格です。信用の証になるので、取引先からISO認証規格が求められることがあります。

公共事業の入札加点に

工業事業の参加条件にはISO27001を取得していることが前提の場合があります。土木や建築の場合は水道工事など個人宅への公共事業での入札加点になったり、IT関連ではシステム構築、保守、運用の入札加点になる場合があります。

業務効率化

ISO27001を取得するにあたって、作業工程の見える化を行います。その過程でこれまで見えなかった業務の無駄などを削減することができるため、業務効率の見直しを行うことができるのです。

社内の意識改革

ISO27001を取得する過程で組織図や業務の割り振りを整えていきます。こうすることで、社員各々の役割や目指すものが明確になり、一人ひとりの意識が変わっていきます。

取引や契約を優位にする・社内の改善が主な理由

ISO27001を取得する目的は企業によってさまざまです。
主な理由としては、取引先からの信頼獲得、公共事業の入札加点、業務の効率化、社内の意識改革などがあります。
取引や契約を優位にするためや社内整備などに重きを置いていると考えられます。

累計ダウンロード3,500件突破!ISO27001丸わかり説明資料

ISO27001はどんな企業が取得しているのか?


情報セキュリティに関するこの規格は、IT企業での取得が圧倒的に多いです。
その他にも、運送業や廃棄物処理業者など、機密情報を扱う業態で取得される企業も多く存在します。

ISO27001取得の流れについて

ISO27001の内容を把握したら次はISO取得の流れについて理解してみましょう。
最初はどこから着手するのか、全体像を把握することで取得に向けた動き方が理解できます。

STEP 内容 主な取得時間
STEP1 プロジェクトチームの結成 第1月
STEP2 キックオフ宣言 第1月~第2月
STEP3 現状(ギャップ)分析 第2月~第3月
STEP4 マニュアル・手順書作成 第3月~第7月
STEP5 下位文書作成 第5月~第9月
STEP6 実践 第6月~第12月
STEP7 内部監査員養成セミナー 第8月~第10月
STEP8 内部監査 第10月~第12月
STEP9 マネジメントレビュー 第12月~第13月
STEP10 1次審査(文書審査) 第13月~第14月
STEP11 2次審査(現地審査) 第14月~第15月
STEP12 是正処置 第15月~第16月
STEP13 認証取得 第16月

※自社取得の場合のスケジュール一例です。

ISO認証取得までの基本的な流れは各規格で同様です。
ISO取得のための準備を行い、ISO規格の要求事項に沿ったマネジメントシステムを構築し、実際に運用をします。その上で審査を受け、通過することでISO規格の認証取得となります。詳しい詳細はこちらで確認できます。

関連記事

ISO27001(ISMS)の取得や更新の流れや具体的なスケジュールをご紹介

これからISO27001の認証取得を考える企業にとって、どのような流れで認証取得に向けて動くのか気になるポイントではないでしょうか? この記事では、現役のISOコンサルタント監修のもと、ISO取得の…

累計ダウンロード3,500件突破!ISO27001丸わかり説明資料

ISOプロでは月額4万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。

サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。

ISO27001、40,000円/月から作業工数ほぼ0実現!ISO新規取得・運用完全サポートならISOプロ