ISO27001とは？認証取得のキホンと規格要求事項を徹底解説【ISO27001入門】

ISO27001 とは企業などが取り扱う“情報資産”を管理する情報セキュリティマネジメントシステム （ISMS ）に関する国際 規格 です。情報セキュリティシステムの三大要件と言われる「機密性 」、「完全性 」、「可用性」の3つの要件を継続的に改善を行うことで、「情報セキュリティに強い企業」を作り上げていくことができます。
また、 ISO 27001を取得することで対外的アピールはもちろん、社員の情報セキュリティに対する意識向上や業務効率化花ぜんなどのコスト削減も向上します。
このページでは、ISO27001の全体像をシンプルかつ理解しやすいようにまとめているので、これからISO27001を取得するにあたって何をどのように理解すればよいのか解説していきます。

そもそもISOとは世界基準のモノサシです。
ISO27001は企業や組織が所有する情報資産を守る『情報セキュリティ』に携わるものです。
そもそもISOとは？

ISO27001とは？

ISO27001とは、国際標準化機構による規格のひとつです。『情報セキュリティに対応するための仕組みを評価するガイドライン』のことであり、組織が扱う情報資産に対する、情報セキュリティマネジメントシステムに関する規格です。
この規格は情報の「機密性」「完全性」「可用性」の3つをバランスよくマネジメントしていくためのものです。

情報セキュリティマネジメントシステムって何？

情報セキュリティマネジメントシステム（ISMS）とは、組織の情報セキュリティに対するリスク低減を実現するために管理・監督するためのシステムです。
つまり、「情報セキュリティ」を担保し、リスク低減を目指すための「組織の仕組み」が情報セキュリティマネジメントシステムです。
無理やりセキュリティを高めようとしてもうまくいきません。情報セキュリティマネジメントシステムを導入することで、継続的な改善を円滑に実行することができるのです。

ISMSとPMSの違い

情報セキュリティと聞くとPマーク（プライバシーマーク）を連想する方も多いかと思います。しかし、情報システムマネジメントシステム（ISMS）と個人情報保護マネジメントシステム（PMS）は別物なのです。ISMSが対象としているのは企業や組織が所有する「情報資産」。PMSは「個人情報」が保護対象となります。ここではPMSについて簡単に説明します。

個人情報保護マネジメントシステム（PMS）とは、個人情報の「漏えい」「紛失」「滅失・毀損」「改ざん、正確性の未確保」「不正、不適正取得」「目的外利用・提供」「不正利用」の求めなどの拒否」を防ぐために管理・監督するための「開示等システムです。
個人情報保護法に基づいた、厳格な対策を導入することで、個人情報に対するリスクを排除することを目的としています。
Pマーク入門

ISO27001要求事項

要求事項とは、ISO27001を取得するために企業が実現すべき基本的な要件のことです。
これからISO27001を取得しようとする企業や既に運用している企業はこの要求事項の要件を満たしておく必要があります。
ISO27001の要求事項では、製品やサービスの仕組みや管理方法などのプロセスがきちんと動いているのかを判断します。

情報セキュリティ目的・情報セキュリティ方針

ISO27001を構築するにあたって、決定の基準となる『情報セキュリティ方針 』と構築に向けて具体的に達成すべき『情報セキュリティ目的 』の2つを定める必要があります。
情報セキュリティ方針は、より安全でありより安心して利用できる情報セキュリティの方針を決めることです。構築時に情報セキュリティが保つことができるように問題がないかレビューを行い、安全性を維持しなければいけません。
情報セキュリティ目的は情報セキュリティ方針と調合性が取れた具体的な目標のことです。どうしても認証取得が目的になってしまいがちな部分ですが、あくまでも情報セキュリティを高め、悪意のある第三者からの攻撃を防ぐことを意識しなければいけません。

関連記事

ISO27001の情報セキュリティ目的・情報セキュリティ方針とは？

ISO27001規格の情報セキュリティマネジメントシステムを構築するためには、最初にやるべきことがあります。適用範囲の決定、情報セキュリティ方針の確立、そして、情報セキュリティ目的の決定です。 …

情報セキュリティの三大要素

ISMSを構築するために、重要な「機密性」「完全性」「可用性」について説明します。

• 機密性とは、情報が漏れないように管理しましょうということ。
• 完全性とは、保有している情報を正確かつ最新状態で管理しましょうということ。
• 可用性とは、使いたいときに使える状態で管理しましょうということ。

これらのバランスが悪いと、業務に悪影響がでることもあります。

機密性（Confidential）

権限のない人間が情報にアクセスしようとするのを防止すること

関連記事

アクセス権限を持つ者だけにアクセス権限を付与する「機密性」とは

情報セキュリティ3要素の一つである『機密性』とは、企業や組織が所有する情報資産に対して、“決められた人以外は情報にアクセスできないようにすること”を言います。企業や組織が所有する情報資産には「顧客や従…

完全性（Integrity）

データを最新かつ正しい状態で維持すること

関連記事

【情報セキュリティ】「完全性」を確保するためのやるべき5つのこと

情報セキュリティ3要素の一つである『完全性』とは、企業や組織が所有する情報が正確であり、最新の状態であることを示す言葉です。 例えば、企業がお客様の個人情報を管理していた場合、その個人情報は正確で最…

可用性（Availability）

利用できる人間がその情報を利用できる状態を維持すること

関連記事

情報セキュリティの三大要素である「可用性」の考え方について知る

情報セキュリティ3要素の一つである『可用性』とは、企業や組織が所有する情報資産に対して安定した環境でいつでも情報を引き出せる環境を整える指標です。 例えば、企業が所有する情報資産を社内サーバーで…

ISO27001のアドオン（拡張）規格

ISO27017、27018といった規格も新たにできてきています。
ISO27017とは、ISO27001の中のクラウドセキュリティに焦点を絞った規格です。
ISO27018とは、ISO27017の中の個人情報に焦点を絞った規格です。
これらは、ISO27001に包括されたものではありますが、自社の事業特性を考慮し、必要があれば取得する企業も増えてきています。

どのような目的で取得されるのか

取引先からの要求

ISO27001はは世界で評価される国際規格です。信用の証になるので、取引先からISO認証規格が求められることがあります。

公共事業の入札加点に

工業事業の参加条件にはISO27001を取得していることが前提の場合があります。土木や建築の場合は水道工事など個人宅への公共事業での入札加点になったり、IT関連ではシステム構築、保守、運用の入札加点になる場合があります。

業務効率化

ISO27001を取得するにあたって、作業工程の見える化を行います。その過程でこれまで見えなかった業務の無駄などを削減することができるため、業務効率の見直しを行うことができるのです。

社内の意識改革

ISO27001を取得する過程で組織図や業務の割り振りを整えていきます。こうすることで、社員各々の役割や目指すものが明確になり、一人ひとりの意識が変わっていきます。

ISO27001を取得する目的は企業によってさまざまです。
主な理由としては、取引先からの信頼獲得、公共事業の入札加点、業務の効率化、社内の意識改革などがあります。
取引や契約を優位にするためや社内整備などに重きを置いていると考えられます。

ISO27001はどんな企業が取得しているのか？

情報セキュリティに関するこの規格は、IT企業での取得が圧倒的に多いです。
その他にも、運送業や廃棄物処理業者など、機密情報を扱う業態で取得される企業も多く存在します。

ISO27001取得の流れについて

ISO27001の内容を把握したら次はISO取得の流れについて理解してみましょう。
最初はどこから着手するのか、全体像を把握することで取得に向けた動き方が理解できます。

※自社取得の場合のスケジュール一例です。

ISO認証取得までの基本的な流れは各規格で同様です。
ISO取得のための準備を行い、ISO規格の要求事項に沿ったマネジメントシステムを構築し、実際に運用をします。その上で審査を受け、通過することでISO規格の認証取得となります。詳しい詳細はこちらで確認できます。

関連記事

ISO27001（ISMS）の取得や更新の流れや具体的なスケジュールをご紹介

これからISO27001の認証取得を考える企業にとって、どのような流れで認証取得に向けて動くのか気になるポイントではないでしょうか？ この記事では、現役のISOコンサルタント監修のもと、ISO取得の…

ISOプロでは月額4万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。

サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。