- ISO27001は情報セキュリティマネジメントシステムに関する規格である
- ISO27001規格のISMSでは、機密性、完全性、可用性の3つをバランス良く管理する
- ISO27001は、IT業、運送業、廃棄物処理業のような重要な情報を取り扱う可能性が高い業種で主に取得されている
ISO27001 とは企業などが取り扱う情報資産を管理する情報セキュリティマネジメントシステム(ISMS)に関する国際規格です。
ISO27001を取得することで対外的アピールはもちろん、社員の情報セキュリティに対する意識向上や業務効率化などのコスト削減にもつながります。
この記事では、ISO27001規格要求事項の全体像をシンプルかつ理解しやすいようにまとめているので、これからISO27001取得を検討している企業の方は、ぜひ最後までご覧ください。
目次
ISO27001とは?
ISO27001とは、国際標準化機構(ISO)が制定した情報セキュリティマネジメントシステムに関する規格です。
わかりやすくいうと、「情報セキュリティに対応するための企業の仕組み」のことであり、組織が扱う情報資産を適切に管理し、情報セキュリティリスクの発生を防止することを目指します。
ISO27001の目的
ISO27001の目的は、情報セキュリティにおける「機密性」「完全性」「可用性」という3要素をバランスよく高めることです。
それぞれの要素の意味を解説します。
機密性(Confidential)
機密性とは、権限のない人間が情報にアクセスするのを防止することです。一般的に情報セキュリティ対策といえば、機密性をイメージする方が多いでしょう。
機密性を高める対策には、例えば「パスワードの設定」「アクセス権限の設定」などが挙げられます。 アクセス権限を持つ者だけにアクセス権限を付与する「機密性」とは 情報セキュリティ3要素の一つである『機密性』とは、企業や組織が所有する情報資産に対して、“決められた人以外は情報にアクセスできないようにすること”を言います。企業や組織が所有する情報資産には「顧客や従…
完全性(Integrity)
完全性とは、データを最新かつ正しい状態で維持することです。古い情報や間違ったデータを保持すると、法律違反や誤った取引が発生する可能性があります。
完全性を高める対策には、例えば「変更履歴の追跡・監査の実施」「文書管理システムなどデータの一貫性を保つシステムの導入」などが挙げられます。 【情報セキュリティ】「完全性」を確保するためのやるべき5つのこと 情報セキュリティ3要素の一つである『完全性』とは、企業や組織が所有する情報が正確であり、最新の状態であることを示す言葉です。
例えば、企業がお客様の個人情報を管理していた場合、その個人情報は正確で最…
可用性(Availability)
可用性とは、利用できる人間がその情報を利用できる状態を維持することです。いつでも情報を使用可能な状態にすることが、情報セキュリティ対策につながるのか疑問に感じる方もいるかもしれませんが、可用性を保持できないと業務効率の低下やビジネス機会の損失につながる可能性があります。
可能性を高める対策には、例えば「システム機器の冗長化」「定期的なバックアップ、メンテナンスの実施」などが挙げられます。 情報セキュリティの三大要素である「可用性」の考え方について知る 情報セキュリティ3要素の一つである『可用性』とは、企業や組織が所有する情報資産に対して安定した環境でいつでも情報を引き出せる環境を整える指標です。 例えば、企業が所有する情報資産を社内サーバーで…
情報セキュリティマネジメントシステム(ISMS)との関係性
情報セキュリティマネジメントシステム(ISMS)とは、組織の情報セキュリティに対するリスク低減を実現するために管理・監督するための体制のことです。
ISO27001は「国際規格」であり、ISMSは「体制、仕組み」です。
ISO27001を取得するには第三者機関による審査に合格する必要がありますが、ISMSの構築・運用は、どの企業も取り組むことが可能です。
しかし、企業によっては「どのようにISMSを構築すれば、自社の情報セキュリティが向上するかわからない」「自社の構築したISMSが機能することを、対外的にアピールする手段を知りたい」とお悩みの場合があるでしょう。
こうした場合に、ISO27001を取得することがおすすめです。
というのも、ISO27001は「自社の情報セキュリティを向上させるISMSを構築・運用する手順をまとめたガイドライン」のような役割を果たし、なおかつ取得することで「自社のISMSが、国際的な基準を満たしている」という証明になります。
そのため、多くの企業がISMSを導入するだけでなく、ISO27001を取得しているのです。
ISO27001の要求事項一覧
要求事項とは、ISO27001を取得するために企業が実現すべき基本的な要件のことで、以下の10項目と具体的な管理策をまとめた附属書Aという構成で成り立っています。
- 適用範囲
- 引用規格
- 用語及び定義
- 組織の状況
- リーダーシップ
- 計画
- 支援
- 運用
- パフォーマンス評価
- 改善
ここでは、ISO27001の要求事項の項目一つひとつについて解説します。
1.適用範囲~3.用語及び定義
要求事項「1.適用範囲~3.用語及び定義」の部分は、企業が行うべき内容ではなく、規格そのものの説明がされている部分です。
ISO27001の理解をより深め、解釈のズレが起きないように、一度目を通しておくと良いでしょう。
4.組織の状況
「4.組織の状況」は、以下の4つの内容に区分されています。
- 4.1 組織及び状況の理解
- 4.2 利害関係者のニーズ及び期待の理解
- 4.3 情報セキュリティマネジメントシステムの適用範囲の決定
- 4.4 情報セキュリティマネジメントシステム
この章では、組織内外の課題や法規制、取り巻く状況、利害関係者のニーズを分析したうえで、ISMSを適用する範囲を決定することを求めています。
また組織は、ISMSを確立したのちも運用を続け、継続的に改善しなければなりません。
5.リーダーシップ
「5.リーダーシップ」は、以下の3つの内容に区分されています。
- 5.1 リーダーシップ及びコミットメント
- 5.2 方針
- 5.3 組織の役割、責任及び権限
この章では、トップマネジメントに対して、ISMSに関するリーダーシップやコミットメント(責任をもって達成することを確約すること)を実証することや、ISMSを運用するための組織の役割を定め、責任や権限を割り当てることが求められています。
また、トップマネジメントはISMSの目的や方向性を示す活動の枠組みとして「情報セキュリティ方針」を確立し、文書化することも必要です。
6.計画
「6.計画」は、以下の2つの内容に区分されています。
- 6.1 リスク及び機会に対処する活動
- 6.2 情報セキュリティ目的及びそれを達成するための計画策定
この章では、情報セキュリティ目的やISMS全体の活動に関する計画を策定することが求められます。また、そのために組織の課題を考慮し、対処するリスクおよび機会を決定しましょう。
具体的には、ISMS全体の活動、情報セキュリティ目的の達成のための計画、リスク対応計画の策定などが挙げられます。具体的には、以下のような内容が記載されています。
- リスクおよび機会を決定する際には、情報リスクアセスメントとして、情報セキュリティのリスク基準を確立し、リスクを特定、分析および評価すること。
- 情報リスクアセスメントを実施後、リスク対応のプロセスを定め、リスク対応の選択肢を設定し、管理策を決定すること。
- 適用宣言書及び情報セキュリティリスク対応計画を策定すること。
- 情報リスクアセスメントに関する情報や情報セキュリティ目的、目的達成に向けた活動やその結果は、文書化した情報を保持すること。
7.支援
「7.支援」は、以下の4つの内容に区分されています。
- 7.1 資源
- 7.2 力量
- 7.3 認識
- 7.4 コミュニケーション
- 7.5 文書化した情報
この章では、ISMSの運用をサポートする資源や従業員の力量、コミュニケーションの内容、文書化した情報の管理について求められています。具体的には、以下のような内容が記載されています。
- ISMSに必要な資源(ヒト、モノ、資金など)を明確にしたうえで、確実に提供する必要があること。
- ISMSの運用に携わる者に必要な力量を決定すること。力量が不足している場合、教育訓練の計画を策定し、計画的に実施すること。
- ISMSに関する内部および外部のコミュニケーションの内容、実施時期、対象者、実施方法を決定し、実施すること。
- ISO27001が要求しているISMS文書、記録を適切に管理すること。
8.運用
「8.運用」は、以下の3つの内容に区分されています。
- 8.1 運用の計画及び管理
- 8.2 情報セキュリティリスクアセスメント
- 8.3 情報セキュリティリスク対応
この章では、ここまで構築したISMSの計画どおりに運用することを求めています。具体的には、以下のような内容が記載されています。
- リスクおよび機会に対する活動(リスクアセスメントおよびリスク対応)の計画を実施すること。
- 計画の変更管理や意図しない変更によって生じた結果を、レビューすること。
- 外部委託したプロセスの特定をし、業者の評価を定期的に行い、契約を締結すること。
- 定期的に情報リスクアセスメントを実施し、重大な変化が生じた場合は、情報リスクアセスメントを実施すること。
9.パフォーマンス評価
「9.パフォーマンス評価」は、以下の3つの内容に区分されています。
- 9.1 監視,測定,分析及び評価
- 9.2 内部監査
- 9.3 マネジメントレビュー
この章では、ISMSを運用した結果、目標に対してどのようなパフォーマンスがあげられたのか、要求事項に適合しているのか、有効に機能しているのか、といった点について評価することを求めています。
具体的には、以下の2つの評価を実施します。
- 情報セキュリティパフォーマンス評価:求められる要求事項および期待に対して、どの程度の運用管理された状態であったかを評価する活動
- 管理策のパフォーマンス評価:影響の大きいインシデントの発生回数や管理策を必要とする資産の消失によるその能力の必要性の評価
またその他にも、以下のような内容が要件として記載されています。
- 監視および測定の結果は、文書化した情報を保持すること。
- 少なくとも1年に1回は内部監査を行うこと。
- 内部監査の結果を記録に残し、トップマネジメントへのインプットとすること。
- トップマネジメントは、マネジメントレビューを少なくとも年1回行うこと。
- マネジメントレビューの結果は記録し、保管すること。
10.改善
「10.改善」は、以下の2つの内容に区分されています。
- 10.1 不適合及び是正処置
- 10.2 継続的改善
この章では、内部監査によって不適合が発生した場合の是正処置(再発防止のための処置)の手順を明確にし、速やかな修正やその結果の影響を把握し、フォローし、その結果を記録することを求めています。
またリスクアセスメント、リスク対応計画、情報セキュリティ実施計画、不適合への是正処置を通して、情報セキュリティの改善を実施する必要もあります。
附属書A
ISO27001における附属書Aとは、情報セキュリティリスクを低減するための管理目的と、93個の管理策(具体的な情報セキュリティ対策)をまとめたリストです。
また、附属書Aに記載されている管理策の中から、自社で適用する項目と除外する項目、その理由を記載した文書が適用宣言書となります。除外する場合には、合理的な理由を記載する必要があります。
管理策は、組織的対策、人的対策、物理的対策、技術的対策の4つの対策から構成されています。
組織で定めた情報セキュリティリスク対応管理策と附属書Aで示す管理策と比較し、必要な管理策が見落としないかを検証しなければなりません。
【2025最新】ISO27001要求事項の改訂情報
ISO規格では、技術の発展や市場の変化、法規制などに合わせて、数年~10年程度に一度改訂されます。そのため、改訂情報に合わせて要求事項を確認し、自社のマネジメントシステムと照らし合わせて対応する必要があるのです。
2025年5月現在、最新のISO27001のバージョンは、ISO27001:2022(JISQ27001:2023)です。ISO27001:2022への対応期間の期限は2025年10月31日までと決められているため、移行審査を受ける組織の方は、早急に対応しましょう。
ISO27001:2022への改訂による主な変更点は、以下の3つです。そのうち、多くの改訂内容は「附属書A」の内容でした。
- 6.1.3c)管理目的が削除され、「管理策」が「情報セキュリティ管理策」へと変更
- 6.1.3d)潜在的曖昧さを取り除く修正
- 附属書A
附属書Aの変更では、114の管理策が93に削減され、カテゴリーが14分類から4分類になっています。
ISO27001:2022(JIS Q 27001:2023)の改訂の詳細については、以下の記事をご覧ください。
ISO27001要求事項のポイント
ここでは、ISO27001要求事項のポイントを解説します。
1.情報セキュリティ目的・情報セキュリティ方針の決定
ISO27001を構築するにあたって、まずはトップマネジメント(経営層やマネジメント層)が決定の基準となる『情報セキュリティ方針』と、構築に向けて具体的に達成すべき『情報セキュリティ目的』の2つを定める必要があります。
情報セキュリティ方針
情報セキュリティ方針とは、より安全で、より安心して利用できる情報セキュリティの方針を決めることです。構築時に情報セキュリティを保つことができるように問題がないかレビューを行い、安全性を維持しなければいけません。
情報セキュリティ目的
情報セキュリティ目的とは、情報セキュリティ方針と整合性が取れた具体的な目標のことです。どうしても認証取得が目的になってしまいがちな部分ですが、あくまでも情報セキュリティを高め、悪意のある第三者からの攻撃を防ぐことを意識しなければいけません。 ISO27001の情報セキュリティ目的・情報セキュリティ方針とは?目標の例や決め方を解説 ISO27001規格の情報セキュリティマネジメントシステムを構築するためには、最初にやるべきことがあります。適用範囲の決定、情報セキュリティ方針の確立、そして、情報セキュリティに関する目標の決定です。…
2.情報セキュリティのリスクアセスメントの実施
情報セキュリティリスクアセスメントでは、企業が保有している情報資産におけるリスクを洗い出し、分析・評価します。発見したリスクに対応すべきかどうか、どのように対応すべきかを決めていきます。リスクマネジメントを行い、情報セキュリティマネジメントシステムを構築するうえで非常に重要な部分です。
重大なリスクを見逃していたり、分析した結果、対応する必要がないと判断したりすると、対処法を決められず、有効なマネジメントシステムの構築は難しくなるでしょう。
そのため、リスクアセスメントの実施は適切な情報資産の取り扱いにおいて、重要になるのです。
3.PDCAサイクルの継続
ISO規格において、PDCAサイクルの循環により継続的な改善を図ることが重視されています。というのも、マネジメントシステムは一度構築したら完成ではないためです。
構築した当初は最適なマネジメントシステムに出来上がったと思っても、時が経つにつれて新しい技術が生まれたり、社会の価値観が変わったりすることでマネジメントシステムも変更する必要が生まれます。
そのため、常にPDCAサイクルを継続させて情報セキュリティを高めていくことが必要なのです。
ISO27001取得の流れ
ISO27001の内容を把握したら次はISO取得の流れについて理解してみましょう。
最初はどこから着手するのか、全体像を把握することで取得に向けた動き方が理解できます。
| STEP | 内容 | 主な取得時間 |
|---|---|---|
| STEP1 | プロジェクトチームの結成 | 1か月目 |
| STEP2 | キックオフ宣言 | 1~2か月 |
| STEP3 | 現状(ギャップ)分析 | 2~3か月目 |
| STEP4 | マニュアル・手順書作成 | 3~7か月目 |
| STEP5 | 下位文書作成 | 5~9か月目 |
| STEP6 | 実践 | 6~12か月目 |
| STEP7 | 内部監査員養成セミナー | 8~10か月目 |
| STEP8 | 内部監査 | 10~12か月目 |
| STEP9 | マネジメントレビュー | 12~13か月目 |
| STEP10 | 1次審査(文書審査) | 13~14か月目 |
| STEP11 | 2次審査(現地審査) | 14~15か月目 |
| STEP12 | 是正処置 | 15~16か月目 |
| STEP13 | 認証取得 | 16か月目 |
※自社取得の場合のスケジュール一例です。
ISO認証取得までの基本的な流れは各規格で同様です。 ISO27001(ISMS)の取得や更新の流れや具体的なスケジュールをご紹介 これからISO27001の認証取得を考える企業にとって、どのような流れで認証取得に向けて動くのか気になるポイントではないでしょうか?
この記事では、現役のISOコンサルタント監修のもと、ISO取得の…
ISO取得のための準備を行い、ISO規格の要求事項に沿ったマネジメントシステムを構築し、実際に運用をします。その上で審査を受け、通過することでISO規格の認証取得となります。詳しい詳細はこちらで確認できます。
ISO27001(ISO/IEC27001)の要求事項を入手する方法
ISO27001の要求事項は、日本規格協会グループのホームページから購入できます。
最新の2022年版は下記リンクより購入が可能です。国内で認証取得を進められる場合は、邦訳版を購入し、ダウンロードするのが一般的です。
まとめ
この記事では、ISO27001の概要や目的、要求事項について解説しました。ISO27001を取得することで、自社が保有する情報資産を情報リスクから守る体制を構築・運用できるようになります。
そのためには、情報セキュリティにおける三要素を向上させることが重要であり、要求事項を満たすことでバランスよく三要素を向上できます。情報セキュリティ体制の強化だけでなく、取引先からの要求や公共事業の入札加点など、対外的なアピールにもつながるでしょう。
ISO27001を取得し、自社の事業体制強化や対外的なアピールへとつなげてみてはいかがでしょうか。
そのほか、ISO27001の取得にあたり参考になる記事は下記となります。ぜひご覧ください。
ISO27017とは?取得期間・費用・方法を解説 ソフトウェア、アプリケーションなどがネットワーク経由で提供されるようになり、クラウドは世界中でなくてはならない存在となりました。
この記事では、クラウドサービスに関する情報セキュリティの規格であるI… ISO27017とISO27018はどちらを取得するべきか? ISO27001のアドオン規格であるISO27017とISO27018は、どちらも「クラウド」と呼ばれるIT技術に関する認証規格です。ーーでは、これらの規格が分かれている理由とは何でしょうか?あるいは… ISO27001(ISMS)取得企業を調べる方法は?必要性や取得が多い業種一覧 自社にとってISO27001の取得の必要性に疑問を感じていませんか。ISO27001は情報セキュリティマネジメントシステムの構築と運用をすることで情報セキュリティリスクから情報資産を守ることを目指して…
ISOプロでは月額4万円から御社に合わせたISO運用を実施中
ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。
また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。
こんな方に読んでほしい