ISO27001規格とは
ISO27001規格とは、ISO27001認証を取得するために必要な「要求事項」であり、審査で問われる内容です。したがいまして、皆様にはこの内容をご自分達なりに解釈し、具体化していただく必要があります。なお、ISO27001にはファミリー規格が複数存在し、それぞれ目的が異なります。
| ISO/IEC | 27000 | 基本用語集 |
|---|
| 27001 | 認証のための規格要求事項 |
| 27002 | 情報セキュリティ管理策の実践規範(管理策の実践例) |
| ・・・ | ・・・ |
| 27017 | クラウドサービスのための情報セキュリティ管理策の実践規範 |
| ・・・ | ・・・ |
ISO27001とは
ISMS = Information Security Management System
(情報セキュリティマネジメントシステム)
ISMS(情報セキュリティマネジメントシステム)を、①どのように「構築」し、②どのように「運用」すれば、認証を取得することができるのかを定めた「要求事項=審査の基準」の国際規格です。
日本では、ISO27001が正式発行される前に、「ISMS適合性評価制度」として認証 制度が運用されていたため、ISO27001=ISMSという認識が根付いています。本来は、ISO27001が「規格名称」、ISMSは「システム」の名称です。
ISMSとは
ISMS(情報セキュリティ・マネジメント・システム)とは、「組織を動かすためのシステムそのもの」を構築して、「個別の情報セキュリティ対策」を行うことです。
ISMSの土台となる「組織を動かすためのシステムそのもの」には、リスクマネジメントや「ヒト」や「モノ」といった資源の管理、監視や監査といったチェック活動、改善のための振り返り活動などがあります。
「個別の情報セキュリティ対策」には、入退室管理やデータのバックアップ、ネットワークのアクセスコントロールなどがあります。
情報セキュリティとは
ISO27001でいう情報セキュリティとは、上記のような特性を保護することであり、規格要求上では最低限「機密性」「完全性」「可用性」の保護が必要です。
情報セキュリティのCIA
C 機密性(confidentiality)
許可されていない個人、エンティティ(個人以外の団体・組織等)又はプロセス(活動そのもの)に対して、情報を使用させず、また、開示しない特性
⇒誤った相手にメールを送ってしまったりすると・・・
I 完全性(integrity)
正確さ及び完全さの特性
⇒ホームページやデータベースが改ざんされたり、誤入力したりしてしまうと・・・
A 可用性(availability)
認可されたエンティティが要求したときに、アクセス及び使用が可能である特性
⇒どこに必要な情報があるか分からない、保存先は分かっているけどアクセスできないと・・・
情報セキュリティの最適化とは
本人A:「大事な顧客情報だから、ファイルにパスワードをかけてサーバに保存しておこう」
同僚B:「今日この情報が必要なのに、本人Aが休んでどこにファイルがあるか分からない・・・」
同僚B:「本人Aしかパスワードが分からないのに、急に休んでしまってファイルが開かない・・・」
同僚B:「本人Aが退職してしまって保存場所も分からないし、見つかってもファイルが開かない・・・」
セキュリティの語源は、ラテン語の「気配り」と言われています。情報セキュリティとは、まさに「情報への気配り」です。上記のように本人Aにより機密性は保護されても可用性が損なわれてしまうケースは、最適な気配りがされているとは言えないかもしれません。行き詰ったら視野を拡げて何のための情報セキュリティなのかをもう一度考えてみましょう。
最適化のためのPDCAサイクル
ISMSでは、必ずPDCAサイクルを回すことが要求されます。PDCAサイクルとは、Plan:計画、Do:計画の実施、Check:確認、Act:確認結果に対する処置の略で、これらをサイクルで行い、継続的に改善を行っていく手法です。当社のISO27001認証取得コンサルティングでは、PDCAサイクルを正しく実施するための教育やご支援を行っています。
上図のような「継続的な改善」を実現するPDCAサイクルを回し続けることで、最適化を図っていくことになりますが、プロジェクトの導入時は「C」から開始する組織もあります。(現状のルールが妥当なのか?それをどの程度運用できているのか?のチェックから始めるということです)
取り組みの結果、期待できること(例)
【業務効率の改善】
組織内にどのような情報がどこに存在するのか把握することができます。必要に応じた共有ができるため、情報の効率的な利用に繋がり、業務効率が改善されます。また、書類やデータを探す時間を短縮することができるため、これによっても業務効率が改善されます。
【適切なリスク対応の実現】
例えば、上記の裏返しで、情報を共有することによるリスクを把握することができ、適切なアクセスコントロール(共有する必要が無い人員にはアクセス権を与えない)を実現することで情報漏えいリスク等を低減することができます。
【事業継続性の向上】
訴訟やトラブル対応の際に、記録等により組織が適切な対応をしていたことを証明し易くなり、事業継続性が向上します。
ISO27001認証取得までの主な行程
はじめてISO27001認証を取得する場合の工程と、 ISO27001認証取得に要するおおよその時間は、次の図のようになります。
適用範囲の決定
適用範囲とは、ISMSを運用する範囲のことであり、「認証範囲=審査対象範囲」とお考えください。
※特定された課題や、利害関係者のニーズと整合しない適用範囲の設定は、不適合となります。
【参考】 文書(規定や記録)化対応
規格では、一部文書化を要求していますが、全てのルールを文書化する必要はありません。極論すれば、大半のルールが明文化されていなくとも、全ての要員が正しく行動できるのであれば、ルールの明文化は不要です。通常はこれが難しいため、明文化することになります。
推進体制の例
ISO27001認証取得後の審査サイクルと審査間の活動
ISO27001を取得した後は、定期的に再認証審査(更新審査)を受けることになりますが、その間に従業者の教育や内部監査などさまざまな情報セキュリティの取り組みを行います。
【審査サイクル】
再認証審査(更新審査)は3年毎にあります。再認証審査が無い年には、継続審査(定期審査)があります。
【審査と審査の間の活動】
ISO27001を取得したら、再認証審査(更新審査)が3年毎にありますが、再認証審査の間に行うことがあります。それは、「運用計画の策定」「運用計画に則した活動」「変化に応じた対応」などです。
また、ISMSを見直したり、業務内容や組織体制などに変更があったり、委託先を変更したりしたときにも、それらの変化に応じた対応が必要になります。
※運用負荷を下げるためのヒントは規格にあります。規格要求の解釈が進めば進むほど、「やらなくてもよいこと」「どの程度実施すれば適合するのか」が見えてきて運用負荷の低減につながります。
認証取得までの主な費用
ISO27001を取得するための費用には、審査費用がかかります。また、セキュリティレベルを上げるための費用や、当社のようなコンサルティング会社をご利用いただいた場合はコンサルティング費用などの外部からの支援費用がかかることがあります。
| 1 | 審査費用 | 必須 |
| 2 | 改善のための設備投資等 | 状況と目的による |
| 3 | 外部からの支援費用
(コンサルティング費用) | |
費用1:審査費用
必ず必要となるのがISO27001の認証を得るための審査費用です。審査費用は一律ではなく、審査機関によって異なります。また、業務の内容や対象人数などによって異なってきます。
審査費用を決める主な要素
- (1)適用範囲
- ①対象業務の内容
- ②対象人数
- ③対象サイト数(拠点数)
- (2)他のISO認証取得状況(同時審査等が可能かどうか)
- (3)審査機関の選択(審査機関は任意で選択可能です)
審査費用の種類
| 種別 | 時期 | 審査規模・費用 |
|---|
| 初回審査費用 | 新規取得時 | 大 |
| 継続審査(サーベイランス・定期審査)費用 | 再認証と再認証の間 | 小 |
| 再認証審査(更新審査)費用 | 3年毎 | 中 |
費用2:セキュリティレベルを上げるための投資
審査を通過するだけであれば、過剰な投資は必要ありません。運用負荷の低減やリスクマネジメントの実現と、審査通過可否は別問題とお考えください。
費用3:外部からの支援費用(コンサルティング費用)
ISO27001認証取得コンサルティングの費用は、主に次のような要素によって決まります。
【金額を決める主な要素】
| 1 | 取組目的 | 認証を取得できればよいのか、明確な目標・テーマがあるのか |
| 2 | 期間 | 極端に短期間(6ヶ月程度)、極端に長期間(1年半以上) |
| 3 | 対象組織規模
事業内容 | 調査にどの程度の時間を要するか
監査にどの程度の時間を要するか |
| 4 | 他認証の有無
既存文書内容・量
設備環境 | システムの理解、文書の読込にどの程度の時間を要するか
既にどの程度要求事項に適合しているか |
| 5 | 支援範囲 | どの工程を支援するか |
| 6 | 支援内容 | アドバイス中心なのか、作業支援が必要なのか等 |
ISMS運用のコツ
1、規格要求事項の意図を理解する
意図を理解することで「最低限やらなくてはいけないこと=やらなくてもいいこと」が見えてきて、運用の効率化につながります。したがいまして、規格要求を理解せずにISMSの最適化は有り得ません。
2、バランス感覚を失わない
認証取得・維持活動を続けていると、規格要求事項しか見えなくなり、本来であれば有り得ない思考に陥ることがあります。結果として、認証を取得するためだけの活動となってしまい、業務効率等を必要以上に損なってしまうことがあります。そんなときは何のためにこの活動を行うのか認識することが重要です。ときには、まわり(例えば事務局以外の従業者)の意見に耳を傾けてみましょう。
帝国データバンクネットコミュニケーションは、認証取得後に「ただ認証を維持するためだけの支援」が不要となるよう、皆様の自立運用成立を目指してご支援します。
帝国データバンクネット
コミュニケーションなら
帝国データバンクネットコミュニケーションの認証取得コンサルティングは、次の3つの強みを主としてお客様の事業発展に貢献します。
信頼とノウハウ
2000年創業以来、大小1,000件以上の実績を積み重ね、当社のコンサルティングを多くのお客様にご満足をいただいております。これからも、信頼とノウハウを積み重ねてまいります。
ワンストップ
ISO27001とプライバシーマークを中心に、各種認証取得コンサルティングが可能。専門性の高いコンサルタントが、ISO27001の認証取得に限らず、他の認証取得もワンストップにてコンサルティングが可能です。
発展性
認証取得のみならず、様々な事業発展コンサルティングが可能。ISO27001などの認証取得のほかにも、インターネットを活用したご提案を通じて事業発展に貢献しています。
お客様のご要望や規模に応じてプランをカスタマイズ
なるべく苦労なく取得
ISO27001認証取得には苦労が伴うものです。ご担当者様には必要最低限のことを行って頂き、それ以外のことはコンサルタントが代行します。お忙しい方におすすめのプランです。
なるべく早く取得
認証取得が案件受注の条件であるなど、認証取得を急ぎたい方のプランです。コンサルタントと協力をして、迅速な認証取得を目指します。
認証を維持・更新
認証を取得した後も、認証を維持・更新する必要があります。更新時期が迫って慌てる前に、コンサルタントが更新のアドバイスをします。
業務改善の相談
自社の規模やリスクに応じた情報資産の管理体制強化などISMS構築が主で、併せてISO27001を取得したいというお客様のための、業務改善コンサルティングサービスです。
スマート化・実効性強化
構築した情報セキュリティマネジメントシステムの見直しをするプランです。文書の簡素化、規程の見直し、情報保護の手順・基準の見直しを行い、お客様にとって最適なシステムを再構築します。
コンサルティング内容の基本パターンとカスタマイズ
| 主な項目 | 基本パターン | 変更・追加パターン |
|---|
| リスクアセスメント | リスクアセスメントの手順の説明
サンプル手順の提供
リスクアセスメント結果のレビュー作成 | アセスメントの代行 |
|---|
| 文書作成 | サンプル文書の提供、読み合わせ
文書修正結果のレビュー作成 | カスタマイズしたサンプル文書の提供
文書修正作業の代行 |
|---|
| 教育 | 教育資料の作成
社員や役員の研修の実施 | 研修記録の作成 |
|---|
| 運用管理 | オフサイトにて相談受付 | 定期訪問によるシステム運用状況の確認 |
|---|
| 内部監査 | 内部監査員養成研修の実施
内部監査の立ち会い
改善策の提案 | 内部監査の代行
内部監査記録の作成 |
|---|
| マネジメントレビュー | マネジメント見直しの立ち会い | マネジメント見直し記録の作成代行 |
|---|
| 審査 | 模擬審査の実施、審査傾向の案内
審査での指摘事項の対応策提案 | 審査の立合い |
|---|
ご支援の実績
- 製造業
- 建設業
- ソフトウェア開発
- システム開発
- ネットショップ運営
- 出版業
その他、次のような業界で、ISO27001認証取得コンサルティングの実績がございます。
- 広告代理業
- 人材派遣業
- 印刷業
- リサイクル業
- セールスプロモーション業
- 不動産業
- 運輸業
- 翻訳業
- 結婚紹介サービス業
- ビル管理業
- PCサポート業
- アパレルメーカー
- 介護サービス業
- 輸入・輸出業
- アウトソーシング業
- エステサロン運営
- ブロードバンド回線販売
コンサルティング開始までの流れ
お問い合せ
概算見積ご案内
訪問してのご説明
本見積ご案内
お申込み
ご契約
開始前打ち合わせ
コンサルティング開始
よくあるご質問
- Q. プロジェクトメンバーには、どのような人材が適任ですか?
-
組織の状況にもよりますが、プロジェクトリーダーには、金銭や業務効率、営業などとのバランスを取って判断ができる方で、良い意味でも妥協ができる方が適任です。
- Q. ISO27001の認証取得には、どれぐらいの期間が必要ですか?
-
「取組目的」「対象組織の規模」「取組体制」「現在の統制状況」等の要素によって変動しますが、一般的には、10ヶ月~12ヶ月を目安にお考えください。
- Q. ISO27001/ISMSの取得までにどれぐらいの費用がかかりますか?
-
ISO27001/ISMSを取得するための費用には、(1)審査費用、(2)支援費用(コンサルティング費用)、(3)設備投資費用の3種類がかかります。それぞれ、内容によって異なりますので、ご相談ください。
- Q. ISO27001を取得するメリットは何ですか?
-
セキュリティパフォーマンスの向上により、損害の予防・発生時の損害抑制に繋がりますので、セキュリティの事故を無くしたり、減らすことが可能となります。
また、情報の管理をすることで業務の効率を上げ、「誰がどの情報をどこに持っているのか」という状況を把握して、適切な共有をすることが業務の冗長性向上へと繋がります。
- Q. プライバシーマークとの違いは何ですか?
-
プライバシーマークが個人情報の保護をテーマとしているのに対して、ISO27001は、リスクに応じた情報資産の管理をテーマとしております。また、ISO27001で言う情報資産は、個人情報を含んだ情報全般を対象としています。
- Q. ISMSとISO27001は何が違うのですか?
-
ISO27001は規格要求、ISMSは「仕組み」です。どのようにISMSを構築して運用するのかを、規格として定めたものがISO27001なので、そもそも比較すべきものではありません。
ちなみに、ISO27001が発行される前、日本では「ISMS適合性評価制度」という名称の制度が運用されていました。その名残がISMS=ISO27001という認識であろうかと思われます。
- Q. ISO27001で要求されるリスクアセスメントは、そもそも何ですか?
-
ISO27001では、おおまかに以下の内容を要求しています。
- リスク受容基準、アセスメント基準を決定すること
- リスクを特定すること
- リスクを分析すること
- リスクを評価すること
以上であり、具体的な基準の決め方等は明記されておりません。したがいまして、組織の決定如何で、リスクアセスメントの負荷が大きく変わってきます。
- Q. ISO27017とは何ですか?
-
ISO27017は、クラウドサービスを提供、利用する組織向けの情報セキュリティガイドラインです。あくまでもガイドラインであり、認証規格ではないのでご注意ください。なお、日本ではクラウドセキュリティ認証としてJIPDECがISO27017に準拠した認証制度を運用していますので、よろしければJIPDECのサイトをご覧になってください。
【参考】JIPDECホームページ:https://www.isms.jipdec.or.jp/isms-cls/isms-cls-publish.html
また、弊社でもクラウドセキュリティ認証の支援をご提供しておりますので、併せてご覧になってください。
⇒ISMSクラウドセキュリティ認証について
- Q.今までの実績で、ISO27001認証取得支援をした企業で、どの程度の事業規模のお客様が多いですか?
-
従業員3名の会社のお客様を支援させて頂いたこともございます。大企業としては、東証一部上場企業のお客様も何社か支援をさせて頂きました。数としては中小企業のお客様が多いです。
- Q. 認証取得のために、どの程度のセキュリティレベルが要求されますか?
-
ISO27001の審査には、セキュリティレベルについて絶対的な基準がありません。簡単に申し上げると、リスク評価の結果に応じたリスク対応がなされていることが求められます。
ISO27001認証取得コンサルティングのよくあるご質問一覧はこちら
ご挨拶
ISO27001はプライバシーマークと異なり、情報全般のセキュリティが求められます。セキュリティの語源は「気配り」だと言われています。情報への気配りとは、情報の機密性を担保するだけでなく、正確でタイムリーに情報を提供することも含まれます。帝国データバンクNCでは、情報への気配りを大切にしながら、お客様の情報セキュリティマネジメントシステム(ISMS)の構築をご支援いたします。
ISO27001取得になるべく手間を省きたいとお考えのお客様や、とにかく迅速に取得したいとお考えの企業様、ISO27001の維持や更新をお考えのお客様、認証取得を通じて社内の仕事の管理体制を整えたいとお考えのお客様まで、さまざまなご要望にお応えできるコンサルティングなら、帝国データバンクNCにお任せください。
2000年創業以来、大小1,000件以上という認証取得コンサルティング業界の中でも数多くの実績を積んでまいりました。ISO27001認証取得を通じて、日本全国のお客様の「次業(Next Stage)」づくりをお手伝いいたします。
ISO27001認証取得コンサルティングをご検討の方は、まず、お電話もしくはお問い合わせフォームより弊社までご連絡をください。