• ISO27001は情報セキュリティマネジメントシステムに関する規格である
  • ISO27001規格のISMSでは、機密性、完全性、可用性の3つをバランス良く管理する
  • ISO27001は、IT業、運送業、廃棄物処理業のような重要な情報を取り扱う可能性が高い業種で主に取得されている

ISO27001 は情報セキュリティの国際規格です。IT企業を筆頭に重要な情報資産を取り扱う企業なら抑えておきたい規格ではないでしょうか。これから取得を考えると、何をどのように理解し、どのように進めればよいのかわからない人も多いかと思います。ISO 27001は情報セキュリティの国際規格であり、「情報セキュリティに強い企業」として対外的アピール目的で取得を希望する企業が多いのではないでしょうか。
このページでは、ISO27001の全体像をシンプルかつ理解しやすい用にまとめているので、これからISO27001を取得するにあたって何をどのように理解すれば良いのか解説していきます。

そもそもISOとは世界基準のモノサシです。
ISO27001は企業や組織が所有する情報資産を守る『情報セキュリティ』に携わるものです。
そもそもISOとは?
ISO27001とは?

ISO27001とは、国際標準化機構 による規格のひとつです。『情報セキュリティに対応するための仕組みを評価するガイドライン』のことであり、組織が扱う情報資産に対する、情報セキュリティマネジメントシステム に関する規格です。
この規格は情報の「機密性 」「完全性 」「可用性」の3つをバランスよくマネジメントしていくためのものです。

情報セキュリティマネジメントシステムって何?

情報セキュリティマネジメントシステム(ISMS)とは、組織の情報セキュリティに対するリスク低減を実現するために管理・監督するためのシステムです。
つまり、「情報セキュリティ」を担保し、リスク低減を目指すための「組織の仕組み」が情報セキュリティマネジメントシステムです。
無理やりセキュリティを高めようとしてもうまくいきません。情報セキュリティマネジメントシステムを導入することで、継続的な改善を円滑に実行することができるのです。

ISMSとPMSの違い

情報セキュリティと聞くとPマーク(プライバシーマーク)を連想する方も多いかと思います。しかし、情報システムマネジメントシステム(ISMS)と個人情報保護マネジメントシステム(PMS)は別物なのです。ISMSが対象としているのは企業や組織が所有する「情報資産」。PMSは「個人情報」が保護対象となります。ここではPMSについて簡単に説明します。

個人情報保護マネジメントシステム(PMS)とは、個人情報の「漏えい」「紛失」「滅失・毀損」「改ざん、正確性の未確保」「不正、不適正取得」「目的外利用・提供」「不正利用」の求めなどの拒否」を防ぐために管理・監督するための「開示等システムです。
個人情報保護法に基づいた、厳格な対策を導入することで、個人情報に対するリスクを排除することを目的としています。
Pマーク入門

ISO27001要求事項

要求事項とは、ISO27001を取得するために企業が実現すべき基本的な要件のことです。
これからISO27001を取得しようとする企業や既に運用している企業はこの要求事項の要件を満たしておく必要があります。
ISO27001の要求事項では、製品やサービスの仕組みや管理方法などのプロセスがきちんと動いているのかを判断します。

1.適用範囲
2.引用規格
3.用語及び定義
4.組織の状況
5.リーダーシップ
6.計画
7.支援
8.運用
9.パフォーマンス評価
10.改善
附属書A
情報セキュリティ目的・情報セキュリティ方針

ISO27001を構築するにあたって、決定の基準となる『情報セキュリティ方針 』と構築に向けて具体的に達成すべき『情報セキュリティ目的 』の2つを定める必要があります。
情報セキュリティ方針は、より安全でありより安心して利用できる情報セキュリティの方針を決めることです。構築時に情報セキュリティが保つことができるように問題がないかレビューを行い、安全性を維持しなければいけません。
情報セキュリティ目的は情報セキュリティ方針と調合性が取れた具体的な目標のことです。どうしても認証取得が目的になってしまいがちな部分ですが、あくまでも情報セキュリティを高め、悪意のある第三者からの攻撃を防ぐことを意識しなければいけません。

情報セキュリティの三大要素

ISMSを構築するために、重要な「機密性」「完全性」「可用性」について説明します。
機密性とは、情報が漏れないように管理しましょうということ。
完全性とは、保有している情報を正確かつ最新状態で管理しましょうということ。
可用性とは、使いたいときに使える状態で管理しましょうということ。
これらのバランスが悪いと、業務に悪影響がでることもあります。

機密性(Confidential)
機密性(Confidential)
権限のない人間が情報にアクセスしようとするのを防止すること
完全性(Integrity)
完全性(Integrity)
データを最新かつ正しい状態で維持すること
可用性(Availability)
可用性(Availability)
利用できる人間がその情報を利用できる状態を維持すること
ISO27001のアドオン(拡張)規格

ISO27017、27018といった規格も新たにできてきています。
ISO27017とは、ISO27001の中のクラウドセキュリティに焦点を絞った規格です。
ISO27018とは、ISO27017の中の個人情報に焦点を絞った規格です。
これらは、ISO27001に包括されたものではありますが、自社の事業特性を考慮し、必要があれば取得する企業も増えてきています。

どのような目的で取得されるのか

取引先からの信頼感醸成
ISO27001は世界で評価される国際規格です。このため、取得しているだけで「この会社の品質はしっかりしている」ということを取引先に示すことができるのです。
公共事業の入札加点に
工業事業の参加条件にはISO27001を取得していることが前提の場合があります。土木や建築の場合は水道工事など個人宅への公共事業での入札加点になったり、IT関連ではシステム構築、保守、運用の入札加点になる場合があります。
業務効率化
ISO27001を取得するにあたって、作業工程の見える化を行います。その過程でこれまで見えなかった業務の無駄などを削減することができるため、業務効率の見直しを行うことができるのです。
社内の意識改革
ISO27001を取得する過程で組織図や業務の割り振りを整えていきます。こうすることで、社員各々の役割や目指すものが明確になり、一人ひとりの意識が変わっていきます。
取引や契約を優位にする・社内の改善が主な理由

ISO27001を取得する目的は企業によってさまざまです。
主な理由としては、取引先からの信頼獲得、公共事業の入札加点、業務の効率化、社内の意識改革などがあります。
取引や契約を優位にするためや社内整備などに重きを置いていると考えられます。

ISO27001はどんな企業が取得しているのか?

情報セキュリティに関するこの規格は、IT企業での取得が圧倒的に多いです。
その他にも、運送業や廃棄物処理業者など、機密情報を扱う業態で取得される企業も多く存在します。

ISO27001取得の流れについて

ISO27001の内容を把握したら次はISO取得の流れについて理解してみましょう。
最初はどこから着手するのか、全体像を把握することで取得に向けた動き方が理解できます。

取得のスケジュール例

ISO認証取得までの基本的な流れは各規格で同様です。
ISO取得のための準備を行い、ISO規格の要求事項に沿ったマネジメントシステムを構築し、実際に運用をします。その上で審査を受け、通過することでISO規格の認証取得となります。詳しい詳細はこちらで確認できます。

コラム > ISO27001コラム一覧

ISO27001を認証取得する流れを知ろう

ISO27001の取得はどのように進めればいいのかわからない人は多いかと思います。 このページでは、ISO27001取得の流れについて説明してます。STEPごとに解説をしているので、どのように進めていけばいいのか確認しておきましょう。 …

ISOプロでは月額4万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。