Japan
サイト内の現在位置
参考情報:NetSociety® for ISMS
ISMS認証(ISO27001)とは
「ISMS認証」は、財団法人・日本情報処理開発協会(JIPDEC)が定めた評価制度( ISMS適合性評価制度)です。指定の審査機関が企業の情報セキュリティマネジメントシステムを審査し、国際標準と同等の「ISMS認証基準」に準拠していれば(要求事項を満たしていれば)、認証を与えるというものです。
当初は国内独自の認証制度でしたが、2006年から、内容はほぼ従来のまま、ISO/IEC27001による国際標準の認証に移行が始まりました。
現在、品質管理の国際標準「ISO9001(QMS)」や、環境国際標準「ISO14001(EMS)」と同様に、多くの企業に広く浸透しつつあります。
また、ISMS認証(ISO/IEC27001)は、個人情報保護法などの法制度の要件はもちろん、国内で広く普及している「プライバシーマーク」の対象範囲もほぼ網羅した“優れもの”。国際標準への対応、説明責任能力や組織力のアピールなどの対外的なメリットが見込めるほか、セキュリティ・リスクの低減や従業員の目的意識の向上など、組織力の強化にも役立ちます。
ISMS認証の基本コンセプトは、個別の技術対策だけでなく、組織のマネジメントとして、自らのリスク評価により必要なセキュリティレベルを決め、プランに基づいて、資源配分しながら、組織全体を運用することにあります。そのために、企業は継続的に「プラン策定→資源の配分→システム運用」などをトータルでマネジメントするPDCA(Plan-Do-Check-Act)サイクルを確立する必要があります。
ISMSとPマーク(プライバシーマーク)の違い
| ISMS(ISO27001) | Pマーク (プライバシーマーク) | |
|---|---|---|
| 適用基準 | ・国際標準規格 ISO/IEC27001:2013 ・日本産業規格 JIS Q 27001:2014 |
・日本産業規格 JIS Q 15001 個人情報保護マネジメントシステム-要求事項 |
| 対象領域 | 情報資産全般(個人情報も含む) | 個人情報 |
| 取得単位 | 事業部・部・課単位、プロジェクト単位等でも認証取得可 (認証取得の範囲に制限なし) |
会社全体(法人単位) |
| 更新タイミング | 3年(年毎の維持審査) | 2年 |
個人情報保護対策として多くの企業が取得に取り組んでいる「プライバシーマーク」の安全管理策は、ISMS認証基準(ISO27001)と共通した管理策を含んでいます。
PマークかISMSの選択を行う場合は、自社の扱う情報資産、業態(BtoB or BtoC)、取引先からの要請等をトータルで考え、経営判断として決断する必要があります。
ISMSでは、社会的な要請である包括的な情報セキュリティマネジメント体制を構築するので、組織が保有する情報資産全体にまつわる脅威とリスクを洗い出し、そのリスクをトータルで軽減していくことができます。
1stステップとして個人情報漏えい対策に特化された「プライバシーマーク」から入り、将来的にISMSへの切り替えを想定されている場合、情報セキュリティ全般を幅広くカバーしたISMS認証(ISO27001)の取得に最初から取り組んだ方が、結局、高いコストパフォーマンスを見込むこともあります。
ISMS認証取得のメリット
対外的メリット
説明責任を果たすことができる
「当社は情報セキュリティ対策ができています」では説明として不十分です。
組織の責任や活動内容を対外的に納得のいく方法で説明する必要があります。
ISMSは、情報セキュリティに関する運用が見える化されるため、説明責任を果たすことに有効な手段です。
取引条件への対応官公庁の入札対応や取引企業の要請へ対応することができます。
国際標準への対応ISMS認証(ISO27001)は国際標準に基づく第三者評価。
企業を評価する際の「ものさし」となります。マネジメントシステムの認定機関に認証され、国際基準をクリアしている点で企業としての信頼性が向上します。
対外的メリット
情報セキュリティリスクの低減
情報セキュリティ対策は、事故を起こさないための抜け漏れのない対策と万が一事故が起こった場合の対処法を決めておくことにより、被害を小さくし、リスク低減につなげることができます。ISMSはそれを実現する手段です。
従業員の意識・モラル向上ISMSを取得するということは、『情報セキュリティに対する全社員の意識改革を行う』ということと同義です。また、情報セキュリティ事故は、「うっかりしていた」、「知らなかった」という事故が大部分を占めます。
大切な従業員を守るために従業員の意識・モラルを向上させることは重要です。
また、情報セキュリティ意識が向上することで、お客様により安心感・信頼感を持ってもらうことができるため、CS向上へもつながります。
大切な従業員を守るために従業員の意識・モラルを向上させることは重要です。
また、情報セキュリティ意識が向上することで、お客様により安心感・信頼感を持ってもらうことができるため、CS向上へもつながります。
