ISMSとは

ISMSとは、information security management systemの略称で、情報セキュリティマネジメントシステムのことです。

情報セキュリティというと、機密性の保護だけに目が行きがちですが、ISO27001で言う情報セキュリティとは、少なくとも情報の「機密性」「完全性」「可用性」を保護することを意味しています。

また、「システム」は仕組みのことですが、マネジメントシステムとただのシステムの違いは、継続的に改善を促す機能の有無にあるとお考えください。

ですので、ISMSとは単に情報セキュリティのシステムを構築するだけでなく、継続的に改善することをも含んだ仕組みです。

ISMSは大きな会社が導入するもの？

ISMSの効果は組織規模に比例して大きくなりますが、大きくなればなるほど導入の難易度も上がります。

数人規模の組織であれば、社長の目が行き届き、あえてISMSを導入する必要は無いかもしれません。また、数人規模の組織は、一般的にスピード感や柔軟性を売りにしている場合が多く、下手にISMSを導入するとそれらの強みが損なわれる可能性もあります。

とは言え、組織が大きくなるほどISMSの導入は難しくなります。正確に言えば、導入はできても運用が難しくなります。組織が大きくなればなるほど、人材が多様化していき、方向性をそろえることが難しくなります。中には組織に対して強い反感を持つ人もいるかもしれません。

今まで運用してきた決まりを変えろと言われたら、少なからず誰しも思うところがあるものです。しかし、組織に加わった時点で存在する決まりに関しては、受け入れやすいものです。

したがって、従業者の目線を合わせられる、気持ちを合わせられる規模のうちにISMSをその時点の身の丈に合わせて構築し、組織の成長に合わせてISMSも変えていくのが正解かもしれません。

ISO27001とは

ISMS（情報セキュリティマネジメントシステム）を、どのように「構築」し、どのように「運用」すれば、認証を取得することができるのかを定めた「要求事項＝審査の基準」の国際規格です。

ISMS認証を取得したい場合は、この内容をご自分達なりに解釈し、具体化していただく必要があります。

ISMS認証の取得後は再認証審査（更新審査）が3年毎にあります。再認証審査が無い年には、継続審査（定期審査）があります。