ISO27001認証取得コンサルティング、お客様の規模や事情に合った適切なコンサルティング


ISO27001に関するご質問

ISO27001認証取得コンサルティングに関するよくあるご質問をまとめました。

Q. ISO27001とは?

ISO27001とは、情報セキュリティマネジメントシステム(Information Security Management System 以降ISMS)を構築・運用し、継続的に改善するための規格です。

Q. ISMSとは何ですか?

ISMSとは、情報セキュリティマネジメントシステム(Information Security Management System)の略称で、情報セキュリティを最適化するための仕組みのことです。なお、マネジメントシステムとは、単純な管理のための仕組みではなく、継続的に改善を持続するための要素を取り込んだ仕組みです。

Q. ISO27001を取得するメリットは何ですか?

セキュリティパフォーマンスの向上により、損害の予防・発生時の損害抑制に繋がりますので、セキュリティの事故を無くしたり、減らすことが可能となります。

また、情報の管理をすることで業務の効率を上げ、「誰がどの情報をどこに持っているのか」という状況を把握して、適切な共有をすることが業務の冗長性向上へと繋がります。

Q. プライバシーマークとの違いは何ですか?

プライバシーマークが個人情報の保護をテーマとしているのに対して、ISO27001は、情報セキュリティリスクのマネジメントをテーマとしております。また、ISO27001で言う情報資産は、個人情報を含んだ情報全般を対象としています。

Q. ISO27001とプライバシーマークのどちらを取得した方が良いですか?

目的とその組織が何を重視するかによって結論は変わるのではないでしょうか。ご質問いただいた場合は、少なくとも目的をお聞かせいただいたうえでアドバイスさせていただいております。

Q. ISMSとISO27001は何が違うのですか?

ISO27001は規格要求、ISMSは「仕組み」です。どのようにISMSを構築して運用するのかを、規格として定めたものがISO27001なので、そもそも比較すべきものではありません。

ちなみに、ISO27001が発行される前、日本では「ISMS適合性評価制度」という名称の制度が運用されていました。その名残がISMS=ISO27001という認識であろうかと思われます。

Q. ISO27001の規格はどこで購入できますか?

一般財団法人日本規格協会の書籍販売サイトで販売されています。

ISO27001認証取得コンサルティングに戻る

ISO27001認証取得に関するご質問

Q. ISO27001は、何をしたら認証取得できますか?

構築されたISMSが、規格要求事項に適合していることを審査で認められると認証されます。

Q. ISO27001を取得するまでの流れを教えてください。

ISO27001認証取得までの工程は次の通りです。

  1. 課題の特定、利害関係者からの期待(要求)の特定
  2. 適用範囲の決定
  3. 方針の策定
  4. 体制の決定
  5. 規程や手順、記録様式類の作成開始
  6. リスク分析(資産の特定を含む)
  7. リスク対応
  8. 目標設定
  9. ISMS運用コンセンサス形成(組織内でISMS運用についての合意を形成すること)
  10. ISMS運用開始
  11. 内部監査
  12. マネジメントレビュー
  13. 第1段階審査
  14. 第2段階審査
  15. 判定
  16. 登録証発行
Q. ISO27001で要求されることは何ですか?

ISO27001の規格で要求していることは、おおまかに述べると「ISMSを構築すること」「ISMSを運用すること」「ISMSを改善すること」です。要求事項とは、例えば「方針を立てなさい」「内部監査を行いなさい」などです。

Q. プロジェクトメンバーには、どのような人材が適任ですか?

組織の状況にもよりますが、プロジェクトリーダーには、金銭や業務効率、営業などとのバランスを取って判断ができる方で、良い意味でも妥協ができる方が適任です。

Q. ISO27001の認証取得には、どれぐらいの期間が必要ですか?

「取組目的」「対象組織の規模」「取組体制」「現在の統制状況」等の要素によって変動しますが、一般的には、10ヶ月~12ヶ月を目安にお考えください。

Q. ISO27001/ISMSの取得までにどれぐらいの費用がかかりますか?

ISO27001/ISMSを取得するための費用には、(1)審査費用、(2)支援費用(コンサルティング費用)、(3)設備投資費用の3種類がかかります。それぞれ、内容によって異なりますので、ご相談ください。

Q. ISO27001で要求されるリスクアセスメントは、そもそも何ですか?

ISO27001では、おおまかに以下の内容を要求しています。

  • リスク受容基準、アセスメント基準を決定すること
  • リスクを特定すること
  • リスクを分析すること
  • リスクを評価すること

以上であり、具体的な基準の決め方等は明記されておりません。したがいまして、組織の決定如何で、リスクアセスメントの負荷が大きく変わってきます。

Q. リスクアセスメントの基準とは何ですか?

リスクを分析・評価するための基準です。具体的には、リスクを受容してもよいかどうかの基準や、リスクそのものの大きさをはかるための基準を指します。

規格の要求は基準を決めることだけであり、具体的に「この程度のリスクであれば受容してもよい」という言及はないので、自身で考えて決めることになります。したがって、各社各様にリスクの受容水準は異なります。

Q. ISO27001を認証取得するためのリスクアセスメントのやり方(スキーム)は決まっていますか?

ISO27001では、情報リスクアセスメントの最低限の要求は決まっていますが、厳密に決まっているわけではありません。ISO27001では、スキームを工夫することができます。リスクアセスメントのスキームについては、コンサルタントの力量によって左右されます。

尚、ISO27001の認証取得後、リスクアセスメントのスキームを変えたいというご要望も多く、最近では数多くご相談を承っております。

Q. 認証取得するために文書をどのくらい作成すればよいですか?

組織によって千差万別です。

規格は、何でもかんでも文書化しろとは要求していません。規格では、最低限要求されている文書以外は「自組織が必要と判断すれば作成してください」というスタンスです。

例えば、新たに社員が入ってきたときに規程があったほうが教育し易いと判断した組織は文書化を推し進めるかもしれません。

また、文書体系、構成の設計次第で、ボリュームも変わってくるうえに、既存内部規程にも左右されます。過去事例では、「規程数十ページ+記録様式」程度のケースもあれば、規程が数百ページに及んだケースもあります。

数百ページに及んだケースは、組織規模が大きく、既存文書体系・文書内容を変更できないという事情があったため、整合性を取るためにボリュームが膨らみました。このケースも、既存文書体系や内容を変更してもよいのであれば、大幅に圧縮することが可能でした。

Q. ISO27001を認証取得するうえで、管理対象となる情報とは何ですか?

原則、自組織で特定していただくことになりますが、明らかに重要な情報(例えば漏洩や改ざんされたりした場合に社会的影響が大きい情報)であるにも関わらず特定されていない場合は、審査時に指摘されることがあります。

管理すべきかどうかは、情報セキュリティを構成する特性の中で、最低限「①機密性」「②完全性」「③可用性」のいずれかを保護する必要性があるかどうかで判断してください。

例えば、個人情報は上記に該当する可能性が高いのではないでしょうか。また、帝国データバンクを例に挙げれば、企業信用情報は、上記 ① ② ③ 全てを保護する必要性があると考えられます。

Q.設定した目標を達成できなかった場合、審査をパスできませんか?

目標の達成可否は直接的には合否判定に影響しません。

目標についての主な要求は、以下のような内容です。

  • 設定されているか
  • 設定内容が妥当かどうか(課題、利害関係者のニーズ、リスク等をふまえているか)
  • 達成計画の進捗が管理されているか
  • 結果が分析、評価されているか

とは言え、目標が達成されたほうがよいことは言うまでもありません。目標達成の如何は、審査の合否ではなく、実態上重要なテーマです。

Q. ISO27001認証取得のために、どの程度のセキュリティレベルが要求されますか?

ISO27001の審査には、セキュリティレベルについて絶対的な基準がありません。簡単に申し上げると、リスク評価の結果に応じたリスク対応がなされていることが求められます。

Q. ISO27001の認証取得するために、レイアウト変更や設備に投資する必要はありますか?

審査の合否に対しては、余程極端でない限りさほど影響はありません。

合否に関して重要なことを以下にまとめました。

  • 現在の環境下でのリスクを特定すること
  • 特定されたリスクを評価すること
  • 評価結果に応じてリスク対応を決定すること
Q. ISO27001を取得するために、従業員にはどのような教育をすればいいのでしょうか?

対象によって内容を変えた方が効率的です。事務局メンバーや管理職といったISMSを主導するコアメンバーと一般従業者で分けてみてはいかがでしょうか?

一般従業者は、まず、できるだけシンプルに要点を絞った教育をしてみてはいかがでしょうか?

Q. ISO27001ではコンプライアンスが問われますか?

著作権法や個人情報保護法、不正競争防止法などで、コンプライアンスが問われることが多いです。

ISO27001認証取得コンサルティングに戻る

ISO27001認証の審査に関するご質問

Q. ISO27001の審査はどこが実施するのですか?

審査に関連するのは、受審企業である皆様の他に、「認定機関」と「審査機関」があります。

ISO27001の認定機関は、審査機関を審査したうえで審査機関として認定する機関であり、実際に皆様の審査を行うのは、その認定された審査機関です。

各国に認定機関があり、そこから認定された審査機関が存在するわけですが、ISO27001の日本の認定機関は、

●一般財団法人日本情報経済社会推進協会(通称JIPDEC)

●公益財団法人日本適合性認定協会(通称JAB)

の2つで、併せて30社近い審査機関が認定されています。ただし、上記2組織に認定された審査機関だけでなく、海外の認定機関に認定された審査機関で受審することも可能です。

Q. ISO27001の審査の流れを教えてください。

まず、複数あるISO27001の審査機関の中から1つを選び、依頼をします。通常は、審査を受審したい時期の3~4カ月前までに審査機関に審査申請することになります。どの審査機関に依頼すればわからない場合は、当社のコンサルティングにてアドバイスいたします。

次に、審査を受審し、不適合の指摘があれば是正し、それを報告します。

第1段階審査は、規格で要求されている文書が存在するかどうかの文書審査が中心です。また、通常は第1段階審査でトップインタビューが実施されます。第2段階審査は、コアメンバー以外の従業者を含めたインタビューと、オフィス等のサイトツアーが中心となります。

Q. 審査の所要時間はどのくらいでしょうか?

審査は、大きく「①初回審査」「②継続審査(定期審査)」「③再認証審査(更新審査)」に分けることができます。特殊な審査としては他に「④拡大審査(適用範囲を拡げる審査)」「⑤移行審査(規格が変わった際の差分審査)」等を挙げることができます。

上記①は最初に認証を取得する際に受ける審査です。③は認証の有効期間が3年であるため、3年毎に受ける審査です。② は、① と ③ の間に毎年最低1回受ける必要が有る審査です。

通常の審査規模は、① > ③ > ② となります。

具体的には、適用範囲やその他のISOの審査状況(他のISOと同時に審査を受けるかどうか等)により、所要時間は変動します。ここで言う適用範囲とは、対象となる業務、従業者数、拠点を指します。当然、適用範囲が広ければ広いほど審査の所要時間も増えていくことになります。

例えば「ソフト受託開発をしている、従業者10人の、本社1拠点の組織」の場合、上記初回審査は、おそらく2~2.5日となりそうです。審査機関によって多少異なります。

なお、初回審査は第1段階と第2段階で構成されており、合計で2~2.5日ということになります。

上記の事例の場合、継続審査は1日、更新審査は1.5~2日といった見込みです。

Q. 審査の内容はどのようなものでしょうか?

第1段階審査の内容は、文書審査が中心です。規格で要求されている文書が存在するかどうか、その内容を問われます。また、通常は第1段階審査でトップインタビューが実施されます。

続く第2段階審査の内容は、コアメンバー以外の従業者を含めたインタビューと、上記サイトツアーが中心となります。

Q. ISO27001認証取得の審査で不適合になるのはどのような場合ですか?

ISO27001認証取得の審査で不適合になるパターンは、次の場合です。

  1. 規格要求を理解できていない/解釈できていない
  2. 構築したISMSを運用できていない
  3. 規格で要求されている文書が存在しない
  4. 法規制を遵守できていない
Q. 審査で不適合になってしまったら、どうしたらいいですか?

基本的に不適合の原因を是正しましょう。それを報告して受理されれば、認証取得ができます。ただし、不適合の内容によっては再度現地審査が行われる場合があります。

ISO27001認証取得コンサルティングに戻る

ISO27001の取得後に関するご質問

Q. ISO27001/ISMSを取得した後は、審査を受ける必要がありますか?

ISO27001/ISMSを取得した後は、定期的に継続審査(定期審査)と再認証審査(更新審査)を受けることになります。再認証審査は3年毎にあります。再認証審査が無い年には、継続審査があります。

ISO9001審査サイクル(初年度から6年目まで)

Q. ISO27001を取得した後に事件や事故が発生した場合どうなるのでしょうか?

事件や事故が発生したという一事のみをもって認証が取り消されることは稀です。

ただし、事件・事故原因によっては取り消されることも有り得ます。例えば社会的影響の大きい事件・事故で、原因が明らかなコンプライアンス違反であるような場合です。

また、事件・事故発生後の対応状況によっては、取り消されることも有り得ます。これは、マネジメントシステムが運用されていないと判断されたようなケースです。例えば、必要性があるにも関わらず修正や原因の除去を行わずに放置した場合が挙げられます。

Q. 長年ISMSを運用していて情報リスクの洗出しが困難になりました。

ISMSを5年、10年と長期間運用していると、新たな情報リスクを発見することが困難になってきて、審査の際に指摘を受けるケースが散見されます。

そのような場合は、リスクを特定するスキームそのものを変えてしまう、もしくは既存のスキームに異なるスキームを加えて複合的に特定を行う等の対処方法が考えられます。

まずは現在のスキームを教えてください。よろしければ確認にお伺いします。

Q. 構築したISMSをもっと簡単にしたいのですが、可能でしょうか?

まずは、「なぜ簡単にしたいのか」をお聞かせください。例えば「文書量が多くて管理負荷が高いから」「規程類の内容が実態と乖離しているから」等です。「どこに困っているのか、どこに負担を感じているのか」お聞かせいただけると、改善のご提案ができるかもしれません。

なお、大抵のケースは「簡単にできる」余地があるのですが、場合によってはその余地が無いケースも考えられるので、まずは現在のISMSについて調査させていただけると、妥当なご提案ができます。

Q. 認証取得後のコンサルティングは必要ですか?

認証取得された後、外部の支援を受けずに認証を維持されている組織はたくさんあります。

とは言え、以下のようなケースは支援をご要望いただくことがあります。

  • 多忙で内部監査等をこなすことができない
  • スキルの問題で研修を外部に任せたほうが効果的
  • 事業内容が変わってしまったのでリスクを見直したい

また、最初から支援を受けずに認証を取得したり、他社の支援を受けられた組織からは、ISMSそのものの見直しをご要望いただくことがあります。具体的には、リスクアセスメントのスキーム見直しや、文書量の圧縮等を挙げることができます。

作業のご支援から、顧問契約的にアドバイザーとしてご契約させていただくような支援まで、ご要望に応じて承ります。

なお、変わったところでは、認証は不要になったので返上するが、構築されたISMSは運用し続けるので、審査が不要になったことに合わせてISMSを最適化したいというご要望をいただいたこともあります。

ISO27001認証取得コンサルティングに戻る

コンサルティング契約に関するご質問

Q. ISO27001認証取得のためのサポートには、どのようなものがありますか?

認証取得サポートでは、お客様のご要望に合わせて次のようなことを行っています。

  • ISMSの構築支援
  • 従業者教育
  • 内部監査の立ち合い/代行
  • マネジメントレビューの立ち合い
  • 審査の立ち合い
  • 取得後の運用支援
Q. コンサルタントに支援を依頼するメリットは?

ISO27001認証取得にて、コンサルタントに支援を依頼すると、時間を短縮することができること。オーバースペックを回避することができること。審査機関を上手に選択することができることなどのメリットがあります。

Q. 今までISO27001認証取得支援をしたお客様の実績は、どれぐらいの規模が多いですか?

一番小さい規模ですと従業員3名の会社のお客様を支援させて頂いたこともございます。大企業としては、東証一部上場企業のお客様も複数ご支援をさせて頂きました。全体で見ますと、数としては中小企業のお客様が多いです。

Q. 契約の前に、コンサルタントと顔合わせができますか?

ご要望があれば、事前に顔合わせさせていただきます。

Q. コンサルタントを乗り換えることはできますか?

承ります。なぜ、そのコンサルタントを乗り換えたいのかを教えてください。

Q. 別のコンサルタントに依頼したが、審査に合格しなかったので、御社のコンサルティングに乗り換えることができますか?

過去にそういったケースもございますので、お気軽にご相談ください。

ISO27001認証取得コンサルティングに戻る

資料請求

まずは、お電話もしくはフォームより、お問い合わせ、もしくは資料請求をください。