ISMS認証取得に関するご質問Q&A

ISMS認証を取得する目的で、一番多い理由は、外部要求（顧客要求、入札条件）によるものです。他には、「同業他社に差別化されないようにするため」や、リスクマネジメントの一環として取り組むケースもあります。

すでにISO9001やISO14001などのISO認証を取得している場合は、仕組みのベースが同じなので、比較的システム構築が容易です。さらに、審査を統合できるので、審査受審の手間を軽減できます。

また、ISMS認証は登録範囲が限定できるという特徴があります。登録範囲を限定したい場合はISMS認証が選ばれます。将来的にクラウドセキュリティ認証やISMS-PIMS認証を取得したい場合も、ISMS認証を選ばれます。

構築されたISMSが、規格要求事項に適合していることを審査で認められると認証されます。

ISMS認証取得までの工程は次の通りです。

1. 1. 課題の特定、利害関係者からの期待（要求）の特定
2. 2. 適用範囲の決定
3. 3. 方針の策定
4. 4. 体制の決定
5. 5. 規程や手順、記録様式類の作成開始
6. 6. リスク分析（資産の特定を含む）
7. 7. リスク対応
8. 8. 目標設定
9. 9. ISMS運用コンセンサス形成（組織内でISMS運用についての合意を形成すること）
10. 10. ISMS運用開始
11. 11. 内部監査
12. 12. マネジメントレビュー
13. 13. 第1段階審査
14. 14. 第2段階審査
15. 15. 判定
16. 16. 登録証発行

ISO27001の規格で要求していることは、おおまかに述べると「ISMSを構築すること」「ISMSを運用すること」「ISMSを改善すること」です。要求事項とは、例えば「方針を立てなさい」「内部監査を行いなさい」などです。

組織の状況にもよりますが、プロジェクトリーダーには、金銭や業務効率、営業などとのバランスを取って判断ができる方で、良い意味でも妥協ができる方が適任です。

「取組目的」「対象組織の規模」「取組体制」「現在の統制状況」等の要素によって変動しますが、一般的には、10ヶ月～12ヶ月を目安にお考えください。

ISO27001/ISMSを取得するための費用には、(1)審査費用、(2)支援費用（コンサルティング費用）、(3)設備投資費用の３種類がかかります。それぞれ、内容によって異なりますので、ご相談ください。

ISO27001では、おおまかに以下の内容を要求しています。

• リスク受容基準、アセスメント基準を決定すること
• リスクを特定すること
• リスクを分析すること
• リスクを評価すること

以上であり、具体的な基準の決め方等は明記されておりません。したがいまして、組織の決定如何で、リスクアセスメントの負荷が大きく変わってきます。

リスクが顕在化したときの影響や、リスクの現実的な起こりやすさを検討すること、またリスクのレベルを決めることです。

リスクを分析・評価するための基準です。具体的には、リスクを受容してもよいかどうかの基準や、リスクそのものの大きさをはかるための基準を指します。

規格の要求は基準を決めることだけであり、具体的に「この程度のリスクであれば受容してもよい」という言及はないので、自身で考えて決めることになります。したがって、各社各様にリスクの受容水準は異なります。

ISO27001では、情報リスクアセスメントの最低限の要求は決まっていますが、厳密に決まっているわけではありません。ISO27001では、スキームを工夫することができます。リスクアセスメントのスキームについては、コンサルタントの力量によって左右されます。

尚、ISO27001の認証取得後、リスクアセスメントのスキームを変えたいというご要望も多く、最近では数多くご相談を承っております。

組織によって千差万別です。

規格は、何でもかんでも文書化しろとは要求していません。規格では、最低限要求されている文書以外は「自組織が必要と判断すれば作成してください」というスタンスです。

例えば、新たに社員が入ってきたときに規程があったほうが教育し易いと判断した組織は文書化を推し進めるかもしれません。

また、文書体系、構成の設計次第で、ボリュームも変わってくるうえに、既存内部規程にも左右されます。過去事例では、「規程数十ページ＋記録様式」程度のケースもあれば、規程が数百ページに及んだケースもあります。

数百ページに及んだケースは、組織規模が大きく、既存文書体系・文書内容を変更できないという事情があったため、整合性を取るためにボリュームが膨らみました。このケースも、既存文書体系や内容を変更してもよいのであれば、大幅に圧縮することが可能でした。

原則、自組織で特定していただくことになりますが、明らかに重要な情報（例えば漏洩や改ざんされたりした場合に社会的影響が大きい情報）であるにも関わらず特定されていない場合は、審査時に指摘されることがあります。

管理すべきかどうかは、情報セキュリティを構成する特性の中で、最低限「①機密性」「②完全性」「③可用性」のいずれかを保護する必要性があるかどうかで判断してください。

例えば、個人情報は上記に該当する可能性が高いのではないでしょうか。また、帝国データバンクを例に挙げれば、企業信用情報は、上記 ① ② ③ 全てを保護する必要性があると考えられます。

目標の達成可否は直接的には合否判定に影響しません。

目標についての主な要求は、以下のような内容です。

• 設定されているか
• 設定内容が妥当かどうか（課題、利害関係者のニーズ、リスク等をふまえているか）
• 達成計画の進捗が管理されているか
• 結果が分析、評価されているか

とは言え、目標が達成されたほうがよいことは言うまでもありません。目標達成の如何は、審査の合否ではなく、実態上重要なテーマです。

ISO27001の審査には、セキュリティレベルについて絶対的な基準がありません。簡単に申し上げると、リスク評価の結果に応じたリスク対応がなされていることが求められます。

審査の合否に対しては、余程極端でない限りさほど影響はありません。

合否に関して重要なことを以下にまとめました。

• 現在の環境下でのリスクを特定すること
• 特定されたリスクを評価すること
• 評価結果に応じてリスク対応を決定すること

対象によって内容を変えた方が効率的です。事務局メンバーや管理職といったISMSを主導するコアメンバーと一般従業者で分けてみてはいかがでしょうか？

一般従業者は、まず、できるだけシンプルに要点を絞った教育をしてみてはいかがでしょうか？

著作権法や個人情報保護法、不正競争防止法などで、コンプライアンスが問われることが多いです。