ISO27001認証取得コンサルティング、お客様の規模や事情に合った適切なコンサルティング

> > ISMSとISO27001は何が違うのですか

ISMSとISO27001は何が違うのですか?

ISO27001は規格要求、ISMSは「仕組み」です。どのようにISMSを構築して運用するのかを、規格として定めたものがISO27001なので、そもそも比較すべきものではありません。

ちなみに、ISO27001が発行される前、日本では「ISMS適合性評価制度」という名称の制度が運用されていました。その名残がISMS=ISO27001という認識であろうかと思われます。

ISO27001は「規格要求」、ISMSは「マネジメントシステムそのもの」です。したがいまして、比較するものではありません。認証の名称としてはISO27001が正しく、ISMSと通称されているとお考えください。

どのようにISMSを構築して運用するのかを、規格として定めたものがISO27001です。

余談ではありますが、ISO27001が発行されるより以前に、日本では「ISMS適合性評価制度」という名称で同様の趣旨の認証制度が運用されていました。前述のように認証がISMSと通称されているのは、その名残だと思われます。

ISMSとは

ISMSとは、information security management systemの略称で、情報セキュリティマネジメントシステムのことです。

情報セキュリティというと、機密性の保護だけに目が行きがちですが、ISO27001で言う情報セキュリティとは、少なくとも情報の「機密性」「完全性」「可用性」を保護することを意味しています。

また、「システム」は仕組みのことですが、マネジメントシステムとただのシステムの違いは、継続的に改善を促す機能の有無にあるとお考えください。

ISMSは大きな会社が導入するもの?

ISMSの効果は組織規模に比例して大きくなりますが、大きくなればなるほど導入の難易度も上がります。

数人規模の組織であれば、社長の目が行き届き、あえてISMSを導入する必要は無いかもしれません。また、数人規模の組織は、一般的にスピード感や柔軟性を売りにしている場合が多く、下手にISMSを導入するとそれらの強みが損なわれる可能性もあります。

とは言え、組織が大きくなるほどISMSの導入は難しくなります。正確に言えば、導入はできても運用が難しくなります。組織が大きくなればなるほど、人材が多様化していき、方向性をそろえることが難しくなります。中には組織に対して強い反感を持つ人もいるかもしれません。

今まで運用してきた決まりを変えろと言われたら、少なからず誰しも思うところがあるものです。しかし、組織に加わった時点で存在する決まりに関しては、受け入れやすいものです。

したがって、従業者の目線を合わせられる、気持ちを合わせられる規模のうちにISMSをその時点の身の丈に合わせて構築し、組織の成長に合わせてISMSも変えていくのが正解かもしれません。


ISO27001 よくあるご質問一覧に戻る

ISO27001認証取得コンサルティングに戻る

資料請求

まずは、お電話もしくはフォームより、お問い合わせ、もしくは資料請求をください。