ISO27000シリーズとは、情報セキュリティーマネジメントシステム(ISMS)に関する国際規格です。なかでもISO27001は組織や企業への具体的な要求事項が示されており、自社の情報セキュリティー体制が基準を満たすと、ISMS認証を取得できます。
本記事では、ISO27001の取得方法や取得に必要な期間、メリットなどを紹介します。ISMSの認証取得やセキュリティー対策の強化に取り組んでいる方は、最後までご覧ください。
ISO27000シリーズとは
ISO27000シリーズとは、ISO(国際標準化機構)が定めた情報セキュリティーマネジメントシステム(ISMS)に関する国際規格です。ISO27000シリーズの一部は以下のとおりです。
規格の種類 | 主な記載内容 |
ISO27000 | ISMSに関する用語の定義や規格全体の概要 |
ISO27001 | |
ISO27002 | ISO27001に記載された管理策の実践に必要な基準と対策 |
ISO27003 | ISMSの運用体制を構築する際のガイダンス |
ISO27004 | ISMSの有効性評価や監視・測定の方法のガイドライン |
ISO27005 | リスクの特定や分析、セキュリティー対策に関する手順や作業内容 |
ISO27017 | クラウドサービス向けのセキュリティー管理策ガイド |
ISO27000シリーズは多くの規格が存在するものの、優先して内容を覚えるべき規格はISO27001です。ISO27001の要求事項や基準を満たさない限り、ISMS認証を取得できません。
また、クラウドサービスを提供する企業がISMS認証を取得する場合、ISO27017はISO27001を前提として策定された規格のため、単独での認証取得はできません。ISO27001とあわせて取得する必要があります。
ISMS認証とは、企業や組織の情報セキュリティー体制が国際規格の基準を満たしているかを審査し、認証する制度です。認定機関での審査に合格すれば、自社のセキュリティー体制や機密情報を保護する仕組みが国際基準を満たしていると、アピールできます。
審査の評価基準として使用される国際規格が、ISO27001です。ISO27001はISMSの考え方にもとづくだけでなく、どのような基準を満たし、どのような対策を講じるべきかが、項目ごとに記載されています。
注意点としては、ISMSの考え方に沿って体制を整備していても、ISO27001の要求事項を満たしていなければ、ISMS認証は取得できません。ISMSは、機密情報の保護を目的に制定されたセキュリティー全体の仕組みです。
ただし、ISMSには具体的な対策や要求事項は記載されていません。ISMS認証の取得を目指すには、ISO27001が定める国際基準に、情報セキュリティーの管理体制を準拠させる必要があります。
ISO27001を取得するメリット
ISO27001の要求事項に準拠し、ISMS認証を取得するメリットは以下の4つです。
- セキュリティーリスクを低減できる
- 企業の信頼性が高まる
- 内部統制を強化できる
- IPOの準備にかかる工数を減らせる
メリットの内容を一つ一つ見ていきます。
ISMS認証取得に向けた準備を進める過程で、あらゆるリスクへの対策が強化されるため、機密情報が流出する可能性を抑えられます。審査で必要になるISMS文書には、情報資産ごとにリスクを特定したうえで、対策を記載しなければなりません。
サイバー攻撃やマルウェア、内部不正など、さまざまな脅威への対策を講じられ、組織全体の安全性が高まります。
また、定期的なリスクアセスメントや内部監査の実施で、新たなリスクは生まれていないか、既存のリスクに対して対策できているかなど、現状把握に努められます。
自社の情報セキュリティー体制を分析・評価する機会を定期的に設けることで、新たなリスクにも素早い対応が可能です。
ISMSの認証取得によって、周囲に「機密情報の保護体制やセキュリティー対策がしっかりしている企業」との印象を与えられ、社会的信用を得やすくなります。
自社の情報セキュリティー体制が国際規格の水準に準拠していると、認証取得を通じて証明できるためです。第三者機関が客観的な視点で評価を下しているため、顧客や取引先にも安心感を与えられます。
また、認証取得で自社への信頼性が高まると、厳格な機密情報の管理を求める企業や組織からも、案件を受注しやすくなります。
とくに医療機関や金融機関、自治体などは案件を発注する際、取引条件の1つにISMS認証の取得を設定しているケースも少なくありません。ISO27001の要求事項を満たすと、他社との違いをアピールでき、受注率向上や継続的な取引につなげられます。
ISO27001への対応を進めることで、自社の内部統制を強化できます。認証取得の審査を通過するには、情報セキュリティーの基本方針策定やセキュリティー教育の実施が必要です。
情報セキュリティーの基本方針では、ITツール使用時のルールや機密情報を扱う際の注意点などを定めるため、誤操作による機密情報の漏えいを防げる確率が高まります。
また、セキュリティー教育の実施で、従業員がサイバー攻撃の脅威や情報漏えい後の損失などを学ぶと、機密情報の流出に細心の注意を払って行動する効果が期待できます。
株式上場を目指す企業は事前にISMS認証を取得しておくと、IPOの準備工数を削減できます。情報セキュリティーの仕組みやITツールの使用制限など、機密情報の保護体制が高いレベルで整備されていると、認証取得を通じて証明できるためです。
IPOとは、未上場企業が株式市場で新規株式を公開することです。IPOによって自社への出資に応じる投資家を見つけられれば、幅広い用途に資金を投入でき、経営の幅が広がります。
ただし、すべての企業が株式上場を認められるわけではありません。要件の1つに機密情報の保護体制も含まれており、事前に監査法人や証券会社などが、情報セキュリティーの管理体制を確認します。
厳しい対策が求められる理由は、仮に株式上場を果たした後、大規模な情報漏えいが生じた場合、株価が暴落するリスクが高まるためです。
自社の管理体制がISO27001の要求に準拠していれば、セキュリティー体制のレベルの高さを証明でき、別の準備に時間と労力を割けます。
ISO27001を取得する際の注意点
ISMS認証の取得を目指す際は、以下2点を把握しておく必要があります。
- 認証取得に向けて準備すべき内容が多い
- コストがかかる
文書作成やリスクの特定など、準備すべき内容が多いため、長期的な視点での取り組みが求められます。
運用体制の構築やISMS文書の作成、セキュリティー教育の実施など、ISMSの認証取得に向けては、多くの準備をこなさなければなりません。情報資産別のリスク可視化や内部監査の実施など、準備内容によっては専門知識が必要になります。
一つひとつの作業を正確に進めるため、認証登録を目指す際は半年~1年ほどの準備期間を設け、計画的に進行する姿勢が求められます。
また、認証機関に審査を依頼したあとも、すぐに結果が出るわけではありません。確認事項が多く、認証登録に至るまでは最低でも3か月はかかるため、長期的な視点で取り組む姿勢が必要です。
ISMSの認証取得にかかる費用は、専用ツールの導入やコンサルティング料金の支払いなど、初回審査のタイミングだけではありません。毎年の継続審査や3年ごとの再認証審査を受ける際も、毎回費用の支払いが必要です。
審査費用は従業員数や拠点数、依頼先の認定機関によって異なるものの、50万~150万円が1つの目安です。認証取得・維持にコンサルティング会社を利用した場合は、200万円以上の費用が発生する可能性が高まります。
無駄な支払いを避けるには複数の候補から事前に見積を取得し、審査費用を比較したうえで審査機関やコンサルティング会社を決めることが必要です。
ISO27001の取得に必要な期間
準備を開始してから認証取得まで、半年~1年ほどかかるケースが一般的です。ただし、半年~1年は、あくまで目安にすぎません。セキュリティー体制や書類作成の数、専門知識をもつ人材の有無などによって、必要な期間は変動します。
仮にセキュリティー対策の強化へ定期的に励み、ISMSの認証手続きを経験した人材がいる場合、半年より前に認証登録に至る可能性もあります。
ただし、認証取得に向けた準備に十分な人員を割けず、セキュリティー体制も未整備の場合、1年以上の時間がかかっても不思議ではありません。
いずれにしても長期的な視点で取り組む必要があるため、余裕をもったスケジュール管理や計画策定が求められます。
ISO27001の有効期限は実質1年です。認証取得の有効期限は3年間とされているものの、毎年行われる維持審査を受けないと、無効になります。
維持審査はISO27001が定める項目にもとづき、セキュリティー体制を運用できているか、確認するのが目的です。確認範囲は認証取得時の半分程度とされているものの、審査に向けて準備を重ねておくことが必要です。
また、認証維持には3年ごとに更新審査を受ける必要もあります。更新審査は前回審査からの変更点はないか、セキュリティー体制は3年間問題なく運用できたかなど、維持審査よりも多くの点を確認します。
ISO27001を取得する方法
ISO27001の認証を取得する選択肢は以下の3つです。
- 自社ですべて対応する
- ISMS認証取得専用のツールを活用する
- コンサルティング会社に依頼する
提出書類や準備すべき内容が多いため、審査の準備を実際に経験した人材がいない限り、自社ですべて対応する方法は、相応の専門知識と工数が求められます。
文書作成や情報資産の整理、リスクへの対応策策定など、ISO27001の審査に必要な手続きをすべて自社で対応する方法です。
外注費やコミュニケーションの手間を抑えられるものの、認証取得の手続きを実際に経験した人材がいない限り、対応は難しいといえます。ISO27001の規格には曖昧な表現も多く、正確な意味を理解するまでに多くの時間が必要です。
また、企業によっては審査で必要となるISMS文書を50種類以上、作成しなければなりません。認証取得の準備を任された従業員は、通常業務と並行して準備を進めることになり、業務負担の増大で業務の効率性や品質が低下するリスクが生じます。
場合によっては、通常業務と認証取得準備の両立が難しくなるケースも考えられます。認証手続きの経験者が複数人いない限り、専用ツールの活用またはコンサルティング会社への依頼、どちらかを選ぶのが無難な選択です。
ISMS認証の取得に特化した専用ツールを活用するメリットは、事前準備の工数を大幅に削減できる点です。主な搭載機能は以下のとおりです。
機能の種類 | 主な機能 |
ISMS文書の作成 | |
eラーニング | |
リスクアセスメントの自動提案 | |
内部監査の支援 | |
マネジメントレビュー |
ISMSの文書作成では、情報セキュリティーの基本方針やインシデント対応計画など、審査に必要な文書のテンプレートが多数搭載されています。フォーマットに必要な情報を入力するだけで文書が完成するため、文書作成にかかる工数の大幅な削減が可能です。
また、リスクアセスメントの自動提案では、顧客情報や事業計画、経営状況など、情報資産ごとにリスクや脆弱性が自動で表示される仕組みです。リスクごとに対応策も提案されるため、セキュリティーに精通した人材が不在でも、安全性向上に向けた対策が取れます。
専用ツールを活用し、審査に向けた準備全般を自社だけで進められれば、必ずしもコンサルタントに依頼する必要はありません。ISMS認証取得の工数とコストを大幅に削減したい企業に、適した手段といえます。
ISMS認証の取得手続きが得意なコンサルティング会社に依頼する方法です。コンサルティング会社に依頼するメリットは、審査の通過率を高めるポイントを熟知している点です。
認証機関が審査の際、どのような点を見極めているかを把握しており、審査で評価を得やすいセキュリティー対策の実施やISMSの運用体制を構築できます。
項目ごとの意味や提出が必要な書類、手続きの流れなど、認証取得に関する内容を丁寧に説明してもらえる点もメリットです。疑問点が生じたらすぐにコンサルタントへ相談できるため、認証手続きの経験者が不在でも手続きを進められます。
ただし、ISMS文書の作成は企業ごとに対応が分かれるため、事前に確認が必要です。また、コンサルティング料金が発生する分、ISMS認証取得の専用ツールを活用した場合より、多額の費用が必要になる可能性も高まります。
まとめ:ISO27001を取得して安全性の高さを証明しよう
ISO27001とは企業や組織が機密情報を保護するため、守るべき要求事項を定めた国際規格です。自社の情報セキュリティー体制がISO27001の要求事項や基準を満たすと、ISMS認証を取得できます。
ISMS認証を取得すると、セキュリティー体制のレベルの高さを証明でき、顧客や取引先からの信頼を得やすくなります。ただし、ISMS認証の取得には、ISMS文書の作成や情報資産ごとのリスク可視化など、さまざまな準備をこなさなければなりません。
セキュリティーに精通した人材がおらず、自社での対応に不安を抱える場合は、外部の専門家の知見を参考にしながら進めることも、一つの選択肢です。
豊富なノウハウや経験を兼ね備えた人材が多く、自社の課題に見合った提案を得られる確率が高まります。
富士フイルムビジネスイノベーションジャパンでは、IT資産の管理やIDaaSなど、情報セキュリティー対策に関するさまざまなソリューションを提供しています。
ISO27001に準拠した情報セキュリティー体制の整備でお悩みの方は、ぜひご相談ください。
検索条件を変えていただき、もう一度お試しください。
検索条件を変えていただき、もう一度お試しください。