ISMS認証(ISO27001)取得コンサルティング
JIS Q 27001(ISO/IEC27001)規格とは
情報セキュリティマネジメントシステムの構築運用に関する要求事項であり、ISMS認証審査ではこの要求事項への適合性が問われます。また、27001以外にもファミリー規格が存在します。
ISO/IEC
-
27000
基本用語集
-
27001
認証のための規格要求事項(認証取得コンサルティングの対象)
-
27002
情報セキュリティ管理策の実践規範(管理策の実践例)
-
27003
ISMSを実際に導入する際の手引き
-
27004
監視測定分析評価手法の案内
-
27005
リスクマネジメントの手引き
-
27006
審査機関、認証機関に対する要求事項
-
27007
マネジメントシステムに関する監査のガイドライン
-
27008
管理策に関する監査のガイドライン
-
ー
ー
-
27014
情報セキュリティガバナンスのガイドライン
-
ー
ー
-
27017
クラウドサービス提供者、利用者に関する管理策の実践規範(認証取得コンサルティングの対象)
-
27018
パブリッククラウド上の個人情報保護のための実践規範
-
ー
ー
-
27701
PII(個人を識別することができる情報)保護のための要求事項及び指針(認証取得コンサルティングの対象)
JIS Q 27001(ISO/IEC27001)とは
ISMS = Information Security Management System (情報セキュリティマネジメントシステム)
ISMS(情報セキュリティマネジメントシステム)を、①どのように「構築」し、②どのように「運用」すれば、
認証を取得することができるのかを定めた「要求事項」です。
日本では、JIS Q 27001(ISO/IEC27001)が正式発行される前に、「ISMS適合性評価制度」として認証 制度が運用されていたため、ISO27001=ISMSという認識が根付いています。本来は、JIS Q 27001(ISO/IEC27001)が「規格名称」、ISMSは「システム」の名称です。(以下、JIS Q 27001とISO/IEC27001を合わせて「ISO27001」と称します)
ISMSとは
ISMSでは、所謂マネジメント部分であるベースとなるシステムの上で、個別の情報セキュリティ管理策(対策)を運用することが求められます。
ISMSの土台となる「組織を動かすためのシステムそのもの」には、リスクマネジメントや「ヒト」や「モノ」といった資源の管理、監視や監査といったチェック活動、改善のための振り返り活動などがあります。
「個別の情報セキュリティ対策」には、入退室管理やデータのバックアップ、ネットワークのアクセスコントロールなどがあります。
情報セキュリティとは
ISO27001でいう情報セキュリティとは、上記のような特性を保護することであり、規格要求上では最低限「機密性」「完全性」
「可用性」の保護が必要です。
情報セキュリティのCIA ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・
C機密性(confidentiality)
許可されていない個人、エンティティ(個人以外の団体・組織等)又はプロセス(活動そのもの)に対して、
情報を使用させず、また、開示しない特性
誤った相手にメールを送ってしまったりすると…
I完全性(integrity)
正確さ及び完全さの特性
ホームページやデータベースが改ざんされたり、誤入力したりしてしまうと…
A可用性(availability)
認可されたエンティティが要求したときに、アクセス及び使用が可能である特性
どこに必要な情報があるか分からない、保存先は分かっているけどアクセスできないと…
情報セキュリティの最適化とは・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・
-
本人A
「大事な顧客情報だから、ファイルにパスワードをかけてサーバに保存しておこう」
-
同僚B
「今日この情報が必要なのに、本人Aが休んでどこにファイルがあるか分からない・・・」
-
同僚B
「本人Aしかパスワードが分からないのに、急に休んでしまってファイルが開かない・・・」
-
同僚B
「本人Aが退職してしまって保存場所も分からないし、見つかってもファイルが開かない・・・」
セキュリティの語源は、ラテン語の「気配り」と言われています。情報セキュリティとは、まさに「情報への気配り」です。
上記のように本人Aにより機密性は保護されても可用性が損なわれてしまうケースは、最適な気配りがされているとは言えないかもしれません。行き詰ったら視野を拡げて何のための情報セキュリティなのかをもう一度考えてみましょう。
最適化のためのPDCAサイクル
ISMSに限らず、QMS(品質マネジメント)やEMS(環境マネジメント)等、ISO規格になっている多くのマネジメントシステムでは、PDCAサイクルを回し、継続的にシステムを改善していくことを求めています。
勿論、システムの改善に伴いパフォーマンスも向上することが理想的ですが、審査上はパフォーマンス向上の有無で結果が変わることはありません。
上図のような「継続的な改善」を実現するPDCAサイクルを回し続けることで、最適化を図っていくことになりますが、プロジェクトの導入時は「C」から開始する組織もあります。
(現状のルールが妥当なのか?それをどの程度運用できているのか?のチェックから始めるということです)
取り組みの結果、期待できること(例)
業務効率の改善
組織内にどのような情報がどこに存在するのか把握することができます。必要に応じた共有ができるため、情報の効率的な利用に繋がり、業務効率が改善されます。また、書類やデータを探す時間を短縮することができるため、これによっても業務効率が改善されます。
適切なリスク対応の実現
例えば、上記の裏返しで、情報を共有することによるリスクを把握することができ、適切なアクセスコントロール(共有する必要が無い人員にはアクセス権を与えない)を実現することで情報漏えいリスク等を低減することができます。
事業継続性の向上
訴訟やトラブル対応の際に、記録等により組織が適切な対応をしていたことを証明し易くなり、事業継続性が向上します。
ISO27001規格の概要
| 項番 | タイトル | 概要 | 審査対象 |
| 序文 | ISO27001の基本となる概念の説明 | ||
|---|---|---|---|
| 1 | 適用範囲 | ISO27001規格の立ち位置、対象についての説明 | |
| 2 | 引用規格 | 引用規格の説明 | |
| 3 | 用語及び定義 | 用語の説明はISO27000にあることを表示 | |
| 4 | 組織の状況 | 組織が抱える課題や利害関係者の要求特定、適用範囲の決定 | 〇 |
| 5 | リーダーシップ | トップマネジメントの責任 | 〇 |
| 6 | 計画 | リスク・機会の特定、リスク分析、リスク評価、適用宣言書の作成、リスク対応、目標設定 | 〇 |
| 7 | 支援 | ヒト、モノ、情報といった資源の管理、社内外のコミュニケーショ ン、文書管理 |
〇 |
| 8 | 運用 | 構築されたISMSの運用 | 〇 |
| 9 | パフォーマンス評価 | パフォーマンスの分析・評価、内部監査、活動の振返り | 〇 |
| 10 | 改善 | 不適合の是正と改善の継続 | 〇 |
| 付属書A | 管理策(情報セキュリティのための対策) | 〇 | |
| 項番 | カテゴリー | 概要 | 管理策数 |
| 5 | 組織的管理策 | 資産目録の作成など、「6 人的管理策」「7 物理的管理策」「8技術的管理策」のいずれにも該当しない管理策 | 37 |
|---|---|---|---|
| 6 | 人的管理策 | 選考や採用、教育訓練、懲戒、リモートワーク等人員の管理に関する管理策 | 8 |
| 7 | 物理的管理策 | 入退管理、装置の保護等物理環境に関する管理策 | 14 |
| 8 | 技術的管理策 | システム、ネットワークの管理等、技術面に関する管理策 | 34 |
| 合計 | 93 | ||
ISMS認証取得までの主な行程
はじめてISMS認証を取得する場合の工程と、 ISMS認証取得に要するおおよその時間は、次の図のようになります。
適用範囲の決定
適用範囲とは、ISMSを運用する範囲のことであり、「認証範囲=審査対象範囲」とお考えください。
-
1. 状況理解
①内部外部の課題特定
②利害関係者と利害関係者からの要求や期待の特定
2. 対象となる事業活動の決定
3. 対象組織の決定
4. 対象サイト
(場所)の決定
-
適用 企業信用調査 除外 ISO認証取得支援 -
適用 部門A 除外 部門B -
適用 本社 除外 大阪支社
※特定された課題や、利害関係者のニーズと整合しない適用範囲の設定は、不適合となります。
推進体制の例
【参考】 文書(規定や記録)化対応
規格では、一部文書化を要求していますが、全てのルールを文書化する必要はありません。極論すれば、大半のルールが明文化されていなくとも、全ての要員が正しく行動できるのであれば、ルールの明文化は不要です。通常はこれが難しいため、明文化することになります。
ISMS認証取得後の審査サイクルと審査間の活動
ISMS認証の有効期間は3年間であり、認証維持のためには3年毎に再認証審査(更新審査) を受審する必要があります。また、再認証審査が無い中間年度も、最低年に1回定期的に受審する必要があります。
審査サイクル
原則として初回認証時に定められた基準日を基とした時期に、継続審査と再認証審査を受審する必要があります。
審査と審査の間の活動
更新審査までには、主に下図のような活動が待っています。
※運用負荷を下げるためのヒントは規格にあります。
規格要求の解釈が進めば進むほど、「やらなくてもよいこと」「どの程度実施すれば適合するのか」が見えてきて運用負荷の低減につながります。
認証取得までの主な費用
ISMS認証取得までの主な費用は、大きく①審査費用②設備投資③外部からの支援の費用に分けることができます。これらの中で、①審査費用のみが必須です。
| ① | 審査費用 | 必須 |
| ② | 改善のための設備投資 等 | 状況と目的による |
| ③ | 外部からの支援費用 (コンサルティング費用) |
費用1− 審査費用
審査費用は審査機関によって大きく異なります。
審査費用を決める主な要素
1. 適用範囲
①対象業務の内容
②対象人数
③対象サイト数(拠点数)
2. 他のISO認証取得状況(同時審査等が可能かどうか)
3. 審査機関の選択(審査機関は任意で選択可能です)
審査費用の種類
| 種別 | 時期 | 審査規模・費用 |
| 初回審査費用 | 新規取得時 | 大 |
|---|---|---|
| 継続審査(サーベイランス・定期審査)費用 | 再認証と再認証の間 | 小 |
| 再認証審査(更新審査)費用 | 3年毎 | 中 |
費用2− セキュリティレベルを上げるための投資
審査を通過するだけであれば、過剰な投資は必要ありません。運用負荷の低減やリスクマネジメントの実現と、審査通過可否は別問題とお考えください。
※ 審査の結果に影響しないとしても、セキュリティレベルや業務効率の向上は重要です。支援の際には、審査上必須の管理策と、審査上必須ではありませんが、セキュリティレベルの向上や業務効率の向上面で有益と考えらえる管理策は分けてご提案します。
費用3− 外部からの支援費用
弊社の場合、支援の料金は主に次のような観点に基づいて決定しております。
金額を決める主な要素
| 1 | 取組目的 | 認証を取得できればよいのか、明確な目標・テーマがあるのか |
| 2 | 期間 | 極端に短期間(6ヵ月程度)、極端に長期間(1年半以上) |
| 3 | 対象組織規模 事業内容 | 調査にどの程度の時間を要するか 監査にどの程度の時間を要するか |
| 4 | 他認証の有無 既存文書内容・量 設備環境 | システムの理解、文書の読込にどの程度の時間を要するか 既にどの程度要求事項に適合しているか |
| 5 | 支援範囲 | どの工程を支援するか |
| 6 | 支援内容 | アドバイス中心なのか、作業支援が必要なのか 等 |
ISMS運用のコツ
1. 規格要求事項の意図を理解する
意図を理解することで「最低限やらなくてはいけないこと=やらなくてもいいこと」が見えてきて、
運用の効率化につながります。したがいまして、規格要求を理解せずにISMSの最適化は有り得ません。
2. バランス感覚を失わない
認証取得・維持活動を続けていると、規格要求事項しか見えなくなり、本来であれば有り得ない思考に陥ることがあります。
結果として、認証を取得するためだけの活動となってしまい、業務効率等を必要以上に損なってしまうことがあります。
そんなときは何のためにこの活動を行うのか認識することが重要です。ときには、まわり(例えば事務局以外の従業者)の
意見に耳を傾けてみましょう。
帝国データバンクネットコミュニケーションは、認証取得後に「ただ認証を維持するためだけの支援」が不要となるよう、皆様の自立運用成立を目指してご支援します。
帝国データバンクネットコミュニケーションなら
帝国データバンクネットコミュニケーションの認証取得コンサルティングは、
次の3つの強みを主としてお客様の事業発展に貢献します。
信頼とノウハウ
2000年創業以来、大小1,000件以上の実績を積み重ね、当社のコンサルティングを多くのお客様にご満足をいただいております。これからも、信頼とノウハウを積み重ねてまいります。
ワンストップ
ISO27001とプライバシーマークを中心に、各種認証取得コンサルティングが可能。
専門性の高いコンサルタントが、ISO27001の認証取得に限らず、他の認証取得もワンストップにてコンサルティングが可能です。
発展性
認証取得のみならず、様々な事業発展コンサルティングが可能。
ISO27001などの認証取得のほかにも、インターネットを活用したご提案を通じて事業発展に貢献しています。
以下のようなご要望に応じて支援内容を調整します
お客様のご要望や事業規模などで、認証取得を目指す速度や情報セキュリティマネジメントシステムの内容が異なってまいります。
以下のようなご要望に応じて支援内容を調整します。
-
なるべく苦労なく取得
ISMS認証取得には苦労が伴うものです。
ご担当者様には必要最低限のことを行って頂き、それ以外のことはコンサルタントが代行します。お忙しい方におすすめのプランです。 -
なるべく早く取得
認証取得が案件受注の条件であるなど、認証取得を急ぎたい方のプランです。コンサルタントと協力をして、迅速な認証取得を目指します。
-
認証を維持/更新
認証を取得した後も、認証を維持・更新する必要があります。更新時期が迫って慌てる前に、コンサルタントが更新のアドバイスをします。
-
業務改善の相談
自社の規模やリスクに応じた情報資産の管理体制強化などISMS構築が主で、併せてISO27001を取得したいというお客様のための、業務改善コンサルティングサービスです。
-
スマート化/実効性強化
構築した情報セキュリティマネジメントシステムの見直しをするプランです。文書の簡素化、規程の見直し、情報保護の手順・基準の見直しを行い、お客様にとって最適なシステムを再構築します。
コンサルティング内容
認証取得・更新支援では、お客様のご要望に合わせて次のような支援を提供しています。
アセスメント
| 【基本パターン】 リスクアセスメントの手順の説明 サンプル手順の提供 リスクアセスメント結果のレビュー作成 |
【変更・追加パターン】 アセスメントの代行 |
文書作成
| 【基本パターン】 サンプル文書の提供、読み合わせ 文書修正結果のレビュー作成 |
【変更・追加パターン】 カスタマイズしたサンプル文書の提供 文書修正作業の代行 |
教育・研修
| 【基本パターン】 教育資料の作成 社員や役員の研修の実施 |
【変更・追加パターン】 研修記録の作成 |
運用管理
| 【基本パターン】 オフサイトにて相談受付 |
【変更・追加パターン】 定期訪問によるシステム運用状況の確認 |
内部監査
| 【基本パターン】 内部監査員養成研修の実施 内部監査の立ち会い 改善策の提案 |
【変更・追加パターン】 内部監査の代行 内部監査記録の作成 |
マネジメントレビュー
| 【基本パターン】 マネジメント見直しの立ち会い |
【変更・追加パターン】 マネジメント見直し記録の作成代行 |
審査
| 【基本パターン】 模擬審査の実施、審査傾向の案内 審査での指摘事項の対応策提案 |
【変更・追加パターン】 審査の立合い |
ご相談やお見積りは、下記の電話番号、
もしくはメールフォームにて承っております。
お気軽にご相談ください。
受付時間:平日 9:00~18:00
ご支援の実績
製造業
建築業
ソフトウェア開発
システム開発
ネットショップ運営
出版業
その他、次のような業界で、ISMS認証取得コンサルティングの実績がございます。
-
- 広告代理業
- セールスプロモーション業
- 結婚紹介サービス業
- 介護サービス業
- ブロードバンド回線販売
-
- 人材派遣業
- 不動産業
- ビル管理業
- 輸入・輸出業
-
- 印刷業
- 運輸業
- PCサポート業
- アウトソーシング業
-
- リサイクル業
- 翻訳業
- アパレルメーカー
- エステサロン運営
支援開始までの流れ
1 お問い合わせ
ISMS認証取得コンサルティングをご検討の方は、まず、お電話もしくはお問い合わせフォームより弊社までご連絡をください。
2 オンラインもしくは訪問による面談
お急ぎの場合は、面談を省略してメールや電話による聞き取りにより、見積もりを案内します。
3 見積の案内
ご要望やご事情に応じて支援内容を調整します。
4 契約
契約書を用意し、契約を締結します。
5 支援開始
お客様のISMS構築やISMS認証取得の支援を開始します。
よくあるご質問Q&A
Q. プロジェクトメンバーには、どのような人材が適任ですか?
組織の状況にもよりますが、プロジェクトリーダーには、金銭や業務効率、営業などとのバランスを取って判断ができる方で、良い意味でも妥協ができる方が適任です。
Q. ISO27001の認証取得には、どれぐらいの期間が必要ですか?
「取組目的」「対象組織の規模」「取組体制」「現在の統制状況」等の要素によって変動しますが、一般的には、10ヵ月~12ヵ月を目安にお考えください。
Q. ISO27001/ISMSの取得までにどれぐらいの費用がかかりますか?
ISO27001/ISMSを取得するための費用には、(1)審査費用、(2)支援費用(コンサルティング費用)、(3)設備投資費用の3種類がかかります。それぞれ、内容によって異なりますので、ご相談ください。
Q. ISO27001を取得するメリットは何ですか?
セキュリティパフォーマンスの向上により、損害の予防・発生時の損害抑制に繋がりますので、セキュリティの事故を無くしたり、減らすことが可能となります。
また、情報の管理をすることで業務の効率を上げ、「誰がどの情報をどこに持っているのか」という状況を把握して、適切な共有をすることが業務の冗長性向上へと繋がります。
Q. プライバシーマークとの違いは何ですか?
プライバシーマークが個人情報の保護をテーマとしているのに対して、ISO27001は、リスクに応じた情報資産の管理をテーマとしております。また、ISO27001で言う情報資産は、個人情報を含んだ情報全般を対象としています。
Q. ISMSとISO27001は何が違うのですか?
ISO27001は規格要求、ISMSは「仕組み」です。どのようにISMSを構築して運用するのかを、規格として定めたものがISO27001なので、そもそも比較すべきものではありません。
ちなみに、ISO27001が発行される前、日本では「ISMS適合性評価制度」という名称の制度が運用されていました。その名残がISMS=ISO27001という認識であろうかと思われます。
Q. ISO27001で要求されるリスクアセスメントは、そもそも何ですか?
ISO27001では、おおまかに以下の内容を要求しています。
- リスク受容基準、アセスメント基準を決定すること
- リスクを特定すること
- リスクを分析すること
- リスクを評価すること
以上であり、具体的な基準の決め方等は明記されておりません。したがいまして、組織の決定如何で、リスクアセスメントの負荷が大きく変わってきます。
Q. ISO27017とは何ですか?
ISO27017は、クラウドサービスを提供、利用する組織向けの情報セキュリティガイドラインです。あくまでもガイドラインであり、認証規格ではないのでご注意ください。なお、日本ではクラウドセキュリティ認証としてJIPDECがISO27017に準拠した認証制度を運用していますので、よろしければJIPDECのサイトをご覧になってください。
また、弊社でもクラウドセキュリティ認証の支援をご提供しておりますので、併せてご覧になってください。
Q. 今までの実績で、ISMS認証取得支援をした企業で、どの程度の事業規模のお客様が多いですか?
従業員3名の会社のお客様を支援させて頂いたこともございます。大企業としては、東証一部上場企業のお客様も何社か支援をさせて頂きました。数としては中小企業のお客様が多いです。
Q. 認証取得のために、どの程度のセキュリティレベルが要求されますか?
ISO27001の審査には、セキュリティレベルについて絶対的な基準がありません。簡単に申し上げると、リスク評価の結果に応じたリスク対応がなされていることが求められます。
Q. 2022年にISMS(ISO/IEC 27001:2022)が改訂された変更点を教えてください。
2022年の改訂の目的は、他のISO認証規格との整合性確保、ICT環境等の変化に合わせた管理策の追加、内容が似通った管理策の整頓による企画要求のスマート化です。
本文は、要求事項の追加・変更と項番変更がなされました。附属書Aでは、管理策の統合と追加がなされました。
変更点の詳細は、「ISO/IEC27001:2022改訂での変更点」をご覧ください。
Q. ISMSの運用支援もしてもらえますか?
支援させていただきます。ISMSの運用支援では、文書関連支援や教育訓練関連支援、外部監査・内部監査オブザーバ支援、審査申請書類作成支援、審査立ち会い支援などを通じて、全面的なご支援から部分的なご支援まで、お客様のご事情に合わせてご提案いたします。アドバイスのみのコンサルティング支援にも対応いたします。
ISMS認証取得コンサルティングは当社にお任せください
ISO27001はプライバシーマークと異なり、情報全般のセキュリティが求められます。セキュリティの語源は「気配り」だと言われています。情報への気配りとは、情報の機密性を担保するだけでなく、正確でタイムリーに情報を提供することも含まれます。帝国データバンクNCでは、情報への気配りを大切にしながら、お客様の情報セキュリティマネジメントシステム(ISMS)の構築をご支援いたします。
ISO27001取得になるべく手間を省きたいとお考えのお客様や、とにかく迅速に取得したいとお考えの企業様、ISO27001の維持や更新をお考えのお客様、認証取得を通じて社内の仕事の管理体制を整えたいとお考えのお客様まで、さまざまなご要望にお応えできるコンサルティングなら、帝国データバンクNCにお任せください。
2000年創業以来、大小1,000件以上という数多くの実績を積んでまいりました。ISMS認証取得を通じて、日本全国のお客様の「次業(Next Stage)」づくりをお手伝いいたします。
ご相談やお見積りは、下記の電話番号、
もしくはメールフォームにて承っております。
お気軽にご相談ください。
受付時間:平日 9:00~18:00