ISMS(情報セキュリティマネジメントシステム)とは
ISMSの概要を紹介します。
組織で情報セキュリティを管理していく仕組みのこと
ISMS(Information Security Management System)は、日本語では「情報セキュリティマネジメントシステム」と訳されます。情報の機密性・完全性・可用性を維持し、絶えず改善を行うための仕組みです。
簡単にいうと、組織がもつ情報の外部流出を防ぐとともに、利用しやすい状態で情報を保護するための仕組みです。
社内の情報を守るためには、社員一人ひとりが心がけるだけではいけません。また、一部の専門家だけが理解している状態でも意味がありません。組織として情報を適切に管理できる体制を構築する必要があり、そのための仕組みがISMSです。
情報セキュリティ(3要素)の確保と維持が重要
ISMSでは、情報セキュリティの要素として以下の3つを定義しています。
- ■機密性
- 情報資産を利用してはいけない人が利用できない状態
- ■完全性
- 情報資産が改ざん・削除されない状態
- ■可用性
- 情報資産を利用すべき人が速やかに利用できる状態
機密性と完全性は、第三者による不正利用や、削除・改ざんを防ぐための重要なセキュリティ要素です。しかし、機密性と完全性を求めるあまりセキュリティが強固になり、利用者が必要なときに必要な情報にアクセスできない状態に陥るのは問題でしょう。そこで重要な観点が可用性です。ISMSでは上記3つの要素をバランスよく維持することが求められます。
「ISO/IEC 27001」「JIS Q 27001」とは
ISO/IEC 27001は、ISMSを構築・運用するための要求事項を定めた国際規格です。JIS Q 27001は、ISO/IEC 27001を基にした日本産業規格です。
整理すると、ISMSは「組織の仕組み」、ISO/IEC 27001(JIS Q 27001)は「その仕組みに求められる要求事項(規格)」です。ISMS認証は、第三者が規格への適合を審査し、認証する枠組みを指します。
注記
規格は改正されるため、参照する年版や関連文書が更新される場合があります。最新の情報は、制度の公式情報もあわせて確認してください。
参考:ISO/IEC 27001:2022 - Information security management systems
ISMS認証を取得するメリット
ISMS認証の取得は、セキュリティ体制が整備されている証明になるため取引先や顧客の信頼につながります。ほかにもISMSの構築・運用には多くのメリットがあるので、以下で紹介します。
- ■情報セキュリティの管理体制が整備
- 不正アクセスをはじめとしたサイバー攻撃を受けるリスクが下がります。
- ■内部統制
- 社内でセキュリティに関する意識を高めることで、従業員による情報漏えいなど、企業に内在するセキュリティリスクが下がります。
- ■職場環境の改善
- 情報を守るには情報を整理する必要があります。オフィスが物理的に整理整頓され、職場環境が改善します。
- ■業務効率化
- 情報セキュリティにおける可用性を確保することで情報の利用が円滑化し、業務が効率化します。
- ■問題発生時の原因究明と対策検討
- 情報を守るには業務に関するさまざまな記録をとる必要があります。問題が発生した際に原因を究明しやすくなり、対策へとつなげられます。
ISMSの取得を通じて、サイバー攻撃への備えを検討している情報システム部門の方は、「サイバー攻撃対策」の人気製品を見てみることもおすすめです。費用感や導入企業の口コミも確認できます。
「自社に合うサイバー攻撃対策製品を診断してみたい」、「どんな観点で選べばいいかわからない」という方向けの診断ページもあります。
簡単な質問に答えるだけで、最適なシステムを案内します。
無料で今すぐ利用できますので、下のリンクから診断を開始してください。
▶サイバー攻撃対策製品 おすすめ比較・無料診断
ISMS認証の取得・運用方法
先ほども少し触れましたが、ISMSの要求事項を適切に満たして第三者機関の審査を受けることで、ISMS認証を取得できます。
ISMS認証の取得までのおおまかな流れは以下のとおりです。
- 1.規格について理解する
- 2.自社の規定書やマニュアルなど(ISMS文書)を作成する
- 3.ISMS文書に則った運用の開始
- 4.内部監査
- 5.審査
- 6.認証取得
ISMSの取得には、規格の内容をよく理解したうえでセキュリティ体制を構築しなくてはいけません。自社のみで対応する場合、構築に時間がかかるケースもあります。
また、ISMS取得後は運用を続ける必要があります。したがって、ISMS取得時には継続的な運用を踏まえて現実的な体制を構築しなければなりません。運用支援を手掛けているコンサルティング企業などが存在するため、相談してみるのもよいでしょう。
ISMSとPマークとの違い
ISMSと混同されがちなものにP(プライバシー)マークがあります。Pマークとは、個人情報の管理・運用が適切に行われていることをマークで示す制度のことです。個人との取引が主で個人情報を多く取り扱うBtoCビジネスにおいては取得が望ましいでしょう。
では、PマークとISMSの違いについて以下で解説します。
- ■ISMS
- 対象:企業全体または一部の組織で所有する情報資産全般
- 規格:ISO/IEC 27001・JIS Q 27001
- ■Pマーク
- 対象:企業全体で所有する個人情報
- 規格:JIS Q 15001
ISMSの対象が企業全体または一部の組織で所有する情報全般であるのに対し、Pマークの対象は企業全体で所有する個人情報です。ISMSは事業所や部署単体での認証も可能です。
Pマークは「JIS Q 15001」によって正しくPMSを構築・運用すると使用が認められます。ただし、ISMSには国際規格があるのに対し、「JIS Q 15001」は国内でしか使われません。
ISMS認証に関するよくある質問(FAQ)
ISMS認証の取得や運用を検討する際には、「認証の有効期間」「認証範囲の設定」「ISO/IEC 27001との違い」など、さまざまな疑問が生じます。ここでは、ISMS認証に関して企業からよく寄せられる質問と、その考え方のポイントをまとめて解説します。
ISMS認証の有効期間と更新は?
ISMS認証の有効期間は一般的に3年間です。認証取得後も毎年「サーベイランス審査(維持審査)」が行われ、ISMSが適切に運用されているか確認されます。3年目には更新審査(再認証審査)が実施され、審査に合格すると認証が更新されます。したがって、ISMS認証は取得して終わりではなく、継続的な運用と改善を前提とした仕組みになっています。
どの範囲が認証対象になりますか(拠点・部門・グループ会社)?
認証の対象範囲は、全社だけでなく、拠点や部門など一定の範囲に設定することもあります。適用範囲によって必要な作業や負担が変わるため、目的に合わせて検討します。
ISO/IEC 27001とISMSの違いは何ですか?
ISMSは、情報セキュリティを管理するための仕組みです。ISO/IEC 27001は、その仕組みに求められる要求事項を定めた規格であり、両者は役割が異なります。
Pマークとどちらを取るべきですか?
個人情報保護を中心に整備したい場合と、情報資産全般を対象にしたい場合で検討軸が変わります。取引先の要件や、自社の事業で扱う情報の範囲に合わせて選ぶことが大切です。
取引先から求められた場合、何から始めるとよいですか?
まずは、求められている要件(ISMS認証の要否、対象範囲、期限など)を確認します。次に、自社で扱う情報と委託先を含む運用実態を整理すると、進め方が明確になります。
ISMSを構築して自社の情報を守ろう!
ISMSとは組織で情報セキュリティを管理するための仕組みです。情報セキュリティへの関心が高まりつつある現在、多くの企業が取得しています。自社の大切な情報を守れるとともに、対外的にアピールできるチャンスです。
ISMSを取得するには、要求事項を遵守して体制を構築し、第三者機関の審査を受ける必要があります。この機会に、本格的な体制構築を目指してはいかがでしょうか。
