ISO27001の規格要求事項とは？認証取得のキホンとあわせて徹底解説！

ISO27001 とは企業などが取り扱う“情報資産”を管理する情報セキュリティマネジメントシステム（ISMS）に関する国際規格です。
ISO27001を取得することで対外的アピールはもちろん、社員の情報セキュリティに対する意識向上や業務効率化などのコスト削減にも繋がります。

このページでは、ISO27001の全体像をシンプルかつ理解しやすいようにまとめているので、これからISO27001を取得するにあたって何をどのように理解すればよいのか解説していきます。

そもそもISOとは世界基準のモノサシです。
ISO27001は企業や組織が所有する情報資産を守る『情報セキュリティ』に携わるものです。
そもそもISOとは？

ISO27001とは？

ISO27001とは、国際標準化機構による規格のひとつです。
『情報セキュリティに対応するための仕組みを評価するガイドライン』のことであり、組織が扱う情報資産に対する、情報セキュリティマネジメントシステム（ISMS）に関する規格です。

ISO27001の目的

ISO27001の目的は、情報セキュリティにおける「機密性」「完全性」「可用性」という3要素をバランスよく高め、マネジメントしていくことです。これら3要素のバランスが悪いと、情報セキュリティが損なわれるだけでなく、日常業務においても支障が生じる可能性があります。

「機密性」「完全性」「可用性」とは、以下のことです。しっかりと理解しておきましょう。

機密性（Confidential）

権限のない人間が情報にアクセスしようとするのを防止すること

関連記事

アクセス権限を持つ者だけにアクセス権限を付与する「機密性」とは

情報セキュリティ3要素の一つである『機密性』とは、企業や組織が所有する情報資産に対して、“決められた人以外は情報にアクセスできないようにすること”を言います。企業や組織が所有する情報資産には「顧客や従…

完全性（Integrity）

データを最新かつ正しい状態で維持すること

関連記事

【情報セキュリティ】「完全性」を確保するためのやるべき5つのこと

情報セキュリティ3要素の一つである『完全性』とは、企業や組織が所有する情報が正確であり、最新の状態であることを示す言葉です。 例えば、企業がお客様の個人情報を管理していた場合、その個人情報は正確で最…

可用性（Availability）

利用できる人間がその情報を利用できる状態を維持すること

関連記事

情報セキュリティの三大要素である「可用性」の考え方について知る

情報セキュリティ3要素の一つである『可用性』とは、企業や組織が所有する情報資産に対して安定した環境でいつでも情報を引き出せる環境を整える指標です。 例えば、企業が所有する情報資産を社内サーバーで…

情報セキュリティマネジメントシステム（ISMS）とは

情報セキュリティマネジメントシステム（ISMS）とは、組織の情報セキュリティに対するリスク低減を実現するために管理・監督するためのシステムです。
つまり、「情報セキュリティ」を担保し、リスク低減を目指すための「組織の仕組み」が情報セキュリティマネジメントシステムです。

「情報漏洩しないように注意しよう」といった根性論では、セキュリティを高められません。情報セキュリティマネジメントシステムを導入することで、継続的な改善を円滑に実行できるのです。

情報セキュリティに関する認証・規格

ここでは、ISO27001以外の情報セキュリティマネジメントシステムに関する認証・規格についてご紹介します。それぞれの認証・規格との違いを理解しておきましょう。

ISO27017・ISO27018

ISO27017、27018といった規格も新たに発行されています。それぞれの概要は以下です。

• ISO27017：ISO27001の中のクラウドセキュリティに焦点を絞った規格
• ISO27018：ISO27017の中の個人情報に焦点を絞った規格

これらは、ISO27001に包括されたものではありますが、自社の事業特性を考慮し、必要があれば取得する企業も増えてきています。

関連記事

ISO27017とは？取得期間・費用・方法を解説

ソフトウェア、アプリケーションなどがネットワーク経由で提供されるようになり、クラウドは世界中でなくてはならない存在となりました。 この記事では、クラウドサービスに関する情報セキュリティの規格であるI…

関連記事

ISO27017とISO27018はどちらを取得するべきか？

ISO27001のアドオン規格であるISO27017とISO27018は、どちらも「クラウド」と呼ばれるIT技術に関する認証規格です。ーーでは、これらの規格が分かれている理由とは何でしょうか？あるいは…

プライバシーマーク（PMS）

プライバシーマーク（Pマーク）とは、個人情報保護マネジメントシステムのことです。情報セキュリティと聞くとPマーク（プライバシーマーク）を連想する方も多いかと思います。しかし、情報セキュリティマネジメントシステム（ISMS）と個人情報保護マネジメントシステム（PMS）は別物です。

ISMSが対象としているのは企業や組織が所有する「情報資産」。PMSは「個人情報」が保護対象となります。ここではPMSについて簡単に説明します。

個人情報保護マネジメントシステム（PMS）とは、個人情報の「漏えい」「紛失」「滅失・毀損」「改ざん、正確性の未確保」「不正、不適正取得」「目的外利用・提供」「不正利用」の求めなどの拒否」を防ぐために管理・監督するための「開示等システムです。
個人情報保護法に基づいた、厳格な対策を導入することで、個人情報に対するリスクを排除することを目的としています。
Pマーク入門

ISO27001要求事項

要求事項とは、ISO27001を取得するために企業が実現すべき基本的な要件のことです。
これからISO27001を取得しようとする企業や既に運用している企業はこの要求事項の要件を満たしておく必要があります。
ISO27001の要求事項では、製品やサービスの仕組みや管理方法などのプロセスがきちんと動いているのかを判断します。

要求事項で求められていること

ISO27001の要求事項で求められているのは、わかりやすく説明すると「ISMSの構築」、「ISMSの運用」、「ISMSの評価・改善」の3点です。

社内にある情報資産の情報セキュリティリスクを明らかにしたうえで、どのように「機密性」「完全性」「可用性」の3要素を高めていくのかを定めます。方針や計画が決まったら、実際に運用して社内に管理体制を落とし込みます。その後、どのように評価するかも決める必要があります。

要求事項一覧

それでは、ここでISO27001の要求事項一覧を見ていきましょう。

ISO27001要求事項のポイント

それではこれらのISO27001要求事項のポイントを解説します。

1.情報セキュリティ目的・情報セキュリティ方針の決定

ISO27001を構築するにあたって、まずはトップマネジメント（経営層やマネジメント層）が決定の基準となる『情報セキュリティ方針』と、構築に向けて具体的に達成すべき『情報セキュリティ目的』の2つを定める必要があります。

情報セキュリティ方針

情報セキュリティ方針とは、より安全で、より安心して利用できる情報セキュリティの方針を決めることです。構築時に情報セキュリティを保つことができるように問題がないかレビューを行い、安全性を維持しなければいけません。

情報セキュリティ目的

情報セキュリティ目的とは、情報セキュリティ方針と整合性が取れた具体的な目標のことです。どうしても認証取得が目的になってしまいがちな部分ですが、あくまでも情報セキュリティを高め、悪意のある第三者からの攻撃を防ぐことを意識しなければいけません。

関連記事

ISO27001の情報セキュリティ目的・情報セキュリティ方針とは？目標の例や決め方を解説

ISO27001規格の情報セキュリティマネジメントシステムを構築するためには、最初にやるべきことがあります。適用範囲の決定、情報セキュリティ方針の確立、そして、情報セキュリティに関する目標の決定です。…

2.情報セキュリティのリスクアセスメントの実施

情報セキュリティリスクアセスメントでは、企業が保有している情報資産におけるリスクを洗い出し、分析・評価します。発見したリスクに対応すべきかどうか、どのように対応すべきかを決めていきます。リスクマネジメントを行い、情報セキュリティマネジメントシステムを構築するうえで非常に重要な部分です。

重大なリスクを見逃していたり、分析した結果、対応する必要がないと判断したりすると、対処法を決められず、有効なマネジメントシステムの構築は難しくなるでしょう。

そのため、リスクアセスメントの実施は適切な情報資産の取り扱いにおいて、重要になるのです。

3.PDCAサイクルの継続

ISO規格において、PDCAサイクルの循環により継続的な改善を図ることが重視されています。というのも、マネジメントシステムは一度構築したら完成ではないためです。

構築した当初は最適なマネジメントシステムに出来上がったと思っても、時が経つにつれて新しい技術が生まれたり、社会の価値観が変わったりすることでマネジメントシステムも変更する必要が生まれます。

そのため、常にPDCAサイクルを継続させて情報セキュリティを高めていくことが必要なのです。

ISO27001のおもな取得目的

ISO27001の目的は情報セキュリティを高めることにありますが、それ以外には以下のような目的で取得されています。

取引先からの要求

ISO27001は世界で評価される国際規格です。信用の証になるので、取引先からISO認証規格が求められることがあります。

公共事業の入札加点に

公共事業の参加条件にはISO27001を取得していることが前提の場合があります。土木や建築の場合は水道工事など個人宅への公共事業での入札加点になったり、IT関連ではシステム構築、保守、運用の入札加点になったりする場合があります。

業務効率化

ISO27001を取得するにあたって、作業工程の見える化を行います。その過程でこれまで見えなかった業務の無駄などを削減できるため、業務効率の見直しを行えるのです。

社内の意識改革

ISO27001を取得する過程で組織図や業務の割り振りを整えていきます。こうすることで、社員各々の役割や目指すものが明確になり、一人ひとりの意識が変わっていきます。

ISO27001を取得する目的は企業によってさまざまです。
主な理由としては、取引先からの信頼獲得、公共事業の入札加点、業務の効率化、社内の意識改革などがあります。
取引や契約を優位にするためや社内整備などに重きを置いていると考えられます。

ISO27001取得の流れ

ISO27001の内容を把握したら次はISO取得の流れについて理解してみましょう。
最初はどこから着手するのか、全体像を把握することで取得に向けた動き方が理解できます。

※自社取得の場合のスケジュール一例です。

ISO認証取得までの基本的な流れは各規格で同様です。
ISO取得のための準備を行い、ISO規格の要求事項に沿ったマネジメントシステムを構築し、実際に運用をします。その上で審査を受け、通過することでISO規格の認証取得となります。詳しい詳細はこちらで確認できます。

関連記事

ISO27001（ISMS）の取得や更新の流れや具体的なスケジュールをご紹介

これからISO27001の認証取得を考える企業にとって、どのような流れで認証取得に向けて動くのか気になるポイントではないでしょうか？ この記事では、現役のISOコンサルタント監修のもと、ISO取得の…

ISO27001の取得が多い業種

情報セキュリティに関するこの規格は、IT企業での取得が圧倒的に多いです。
その他にも、運送業や廃棄物処理業者など、機密情報を扱う業態で取得される企業も多く存在します。

情報セキュリティに関するこの規格は、IT企業での取得が圧倒的に多いです。
その他にも、運送業や廃棄物処理業者など、機密情報を扱う業態で取得される企業も多く存在します。

取得企業数については、以下の記事をご覧ください。

関連記事

ISO27001(ISMS)取得企業を調べる方法は？必要性や取得が多い業種一覧

自社にとってISO27001の取得の必要性に疑問を感じていませんか。ISO27001は情報セキュリティマネジメントシステムの構築と運用をすることで情報セキュリティリスクから情報資産を守ることを目指して…

ISO27001(ISO/IEC 27001)の要求事項をダウンロード・購入する方法

ISO27001の要求事項は、日本規格協会グループのホームページから購入できます。
最新の2022年版は下記リンクより購入が可能です。国内で認証取得を進められる場合は、邦訳版を購入し、ダウンロードするのが一般的です。

まとめ

この記事では、ISO27001の概要や目的、要求事項について解説しました。ISO27001を取得することで、自社が保有する情報資産を情報リスクから守る体制を構築・運用できるようになります。

そのためには、情報セキュリティにおける三要素を向上させることが重要であり、要求事項を満たすことでバランスよく三要素を向上できます。情報セキュリティ体制の強化だけでなく、取引先からの要求や公共事業の入札加点など、対外的なアピールにもつながるでしょう。

ISO27001を取得し、自社の事業体制強化や対外的なアピールへとつなげてみてはいかがでしょうか。

ISOプロでは月額4万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。

サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。