IT & Information security Journal

  1. UNITIS
  2. セキュリティマネジメント
  3. ISMS認証とは?認証基準、取得するメリット、運用実務をわかりやすく解説

ISMS認証とは?認証基準、取得するメリット、運用実務をわかりやすく解説

ISMSとは、組織で情報セキュリティを管理するための仕組みのことを指します。この記事では、ISMS認証の取得を検討している企業や、ISMS認証の取得を通じて自社のセキュリティ体制を高めたいと考える企業のために、ISMS認証制度の概要、認証を取得するメリット、取得と運用の実務について解説します。

この記事のポイント

 

  • ISMS認証とは、認証機関がISO27001をもとに組織の情報セキュリティの評価を実施し、要件を満たした場合に取得できる認証のこと
  • ISMS認証を取得すると、自社のセキュリティ体制の整備状況を証明できるだけでなく、実務上のさまざまなメリットを得られる
  • ISMS認証を取得した後も、社内リソースを確保・配置し、適切な対応を継続しなければならない

ISMSの概要についてはこちらの記事で解説しています。

ISMS認証の取得に要する一般的な期間・費用については、こちらの記事で解説しています。

ISMSとPマークの違いについては、こちらの記事で解説しています。

ISMS認証とは?

ISMS認証とは、一般社団法人情報マネジメントシステム認定センター(ISMS-AC)に認定された認証機関がISO27001をもとに組織の情報セキュリティの評価を実施し、要件を満たした場合に取得できる認証のことです。

正式名称は、「ISMS適合性評価制度」といい、規格名称を用いて「ISO27001」と呼ばれることもあります。 ISMS認証を取得することで、企業は自社が国際基準のセキュリティ強度を有することを証明できます。

ISMSの認証基準

ISMS認証の基準は明確に定められています。ここでは、一般社団法人情報マネジメントシステム認定センター(ISMS-AC)が公開する情報をもとに、ISMSの認証基準を紹介します。

規格

ISMS適合性評価制度では、国際的な標準規格である「ISO/IEC 27001」の要求事項を満たす必要があります。

この規格に基づき、ISMS-ACから認定を受けた第三者の認証機関が適合性を評価します。

正式名称は、「JIS Q 27001:2014 情報技術-セキュリティ技術-情報セキュリティマネジメントシステム-要求事項 (ISO/IEC 27001:2013 Information technology -Security techniques-Information security management systems-Requirements)」です。

なお、JIS Q 27001は、ISO/IEC 27001の発行に伴って日本産業標準調査会(JISC)によって発行された国内規格です。

JIS Q 27001は、ISO/IEC 27001を日本語に翻訳したものであり、国際規格との整合性を正確に担保する内容となっています。

認証評価制度の運用と組織

ISMS適合性評価制度の運用には、3つの機関が関わっています。

ISMS適合性評価制度の運用に関与する機関

ISMS適合性評価制度の運用に関与する機関
出所:一般社団法人情報マネジメントシステム認定センター「ISMS適合性評価制度の概要(パンフレット) 」3頁

ISMS認証を取得するメリット

ISMS認証を取得することにより、自社のセキュリティ体制が整備されていることを証明できます。そのため企業は、ISMS認証の取得によって、取引先や顧客からの信頼を得やすくなるといわれます。

また、ISMS認証を取得するプロセスを通じて従業員のセキュリティ意識が高まり、セキュリティリスクを低減する効果も期待できるでしょう。

一般社団法人情報マネジメントシステム認定センター(ISMS-AC)がISMS認証取得組織に対して実施したアンケート調査では、ISMSの導入に関してポジティブな意見を持つ企業が多いことが明らかになっています。

ISMS導入の効果
出所:一般社団法人情報マネジメントシステム認定センター「ISMS適合性評価制度の概要(パンフレット) 」6頁

ISMS認証取得までの取組み

ISMS認証を取得するには、ISMSの要求事項を満たしたうえで、第三者機関の審査を受ける必要があります。ISMS認証を取得するまでの大まかな流れは以下の通りです。

ISMS認証取得までのおおまかな流れ

 

  1. ISMSの適用範囲の決定
  2. 情報セキュリティ方針の確立
  3. 認証機関の選定
  4. リスクアセスメント
  5. 適用宣言書の作成
  6. 内部監査
  7. マネジメントレビュー
  8. 認定審査

ISMS認証の取得に向けて、ISMSの適用範囲を決定したうえで、情報セキュリティ方針を確立し、認証機関を選定します。リスクアセスメントの段階では、情報資産管理台帳の作成やリスクの洗い出しと分析、リスクへの対応計画の策定などを行います。

その後、内部監査を実施し、内部監査結果を経営層に報告します(マネジメントレビュー)。必要に応じて改善措置をとり、認定審査へと進みます。

ISMSは認証取得後も継続的な運用が求められるため、運用サポートまで実施しているコンサルティングを導入することも効果的な手法の1つです。

認証取得後の運用

ISMS認証制度では、審査機関によって定期的な審査が行われます。そのため、PDCAサイクルを回して改善を図る必要があります。

定期審査では、審査員から組織の代表者に対し、ISMSの運用状況などに関する質問や、現場視察や責任者へのヒアリングなどが行われます。

ISMS認証制度では、認証を取得した後も社内リソースを確保・配置し、適切な対応を継続する必要があることを理解しておきましょう。

ISMS認証と企業価値の向上

ISMS認証を取得するためには、要求事項を満たすセキュリティ体制を構築したうえで、認証機関の審査を受ける必要があります。

ISMS認証を取得するためには、一定のリソースが必要となりますが、ISMS認証の取得によって、企業は自社の情報資産の保護や企業価値向上など、さまざまなメリットを受けることができるでしょう。

この記事で解説したISMS認証のポイントは下記のとおりです。

  • ISMS認証とは、認証機関がISO27001をもとに組織の情報セキュリティの評価を実施し、要件を満たした場合に取得できる認証のこと
  • ISMS認証を取得すると、自社のセキュリティ体制の整備状況を証明できるだけでなく、実務上のさまざまなメリットを得られる
  • ISMS認証を取得した後も、社内リソースを確保・配置し、適切な対応を継続しなければならない

この記事は会員限定です。
登録すると続きをお読みいただけます。

UNITIS 利用規約に同意のうえ

このサイトはreCAPTCHAによって保護されており、
Googleの プライバシーポリシー利用規約 が適用されます。

UNITIS@unitis_desk

最新情報をフォローする

UNITISは、IT・セキュリティ担当者へ、実務家・専門家による解説や他社事例等を伝えるメディアです。セキュリティ・法律の専門家による実務解説や分析、第一線の実務家による事例・ノウハウをお届けします。

最新情報をフォローする

あわせて読みたい

この記事をシェアする

TOP