ISO27001 ISMS とは

ISMS(Information Security Management System)適合性評価制度とは、情報セキュリティマネジメントシステムに対する第三者適合性評価制度です。ISMSを取得した企業は、ISMSのマークを使用することができ、顧客や取引先に対して自社の情報セキュリティの信頼性をアピールすることができます。

ISO27001(ISMS)を取得するには、一般社団法人情報マネジメントシステム認定センター（ISMS-AC）などの認定機関により認定を受けたISMS認証機関（審査機関）による審査を受ける必要があります。審査では、組織のISMSがJISQ 27001(ISO/IEC 27001)※1に適合しているかについて確認されます。取得後は、通常1年ごとにサーベイランス審査が行われ、3年ごとに再認証審査が行われます。

※1 JISQ 27001(ISO/IEC 27001)：「情報セキュリティマネジメントシステム―要求事項」

ISMS27001(ISMS)取得までのステップは、以下のとおりです。

1．適用範囲の決定

ISO27001(ISMS)は、認証取得の範囲に制限はなく、事業部・部・課といった単位でも認証取得が可能です。このため、まずISO27001(ISMS)を組織全体で取得するのか、特定の部署のみを対象として取得するかを決定します。

2．情報セキュリティ推進体制の整備

社内から情報セキュリティマネジメントシステム※2の実施及び運用の責任者や内部監査員を任命します。このほか、適宜、事務局、システム管理責任者、各部署の責任者、教育責任者などを任命します。

※2 情報セキュリティマネジメントシステム：情報セキュリティのための体制、仕組みのことを言います。

3．リスクアセスメント

組織内で取扱っている資産（情報資産）に対するリスクを特定、分析、評価し、一定の水準を超えるリスクに対して対策を講じます。リスクアセスメントの手法については、具体的な定めはなく組織が自ら定義します。

ISO27001(ISMS)では、このリスクアセスメントが大きなポイントになっています。適切なリスクアセスメントを実施しなければセキュリティ上の問題が残ってしまいますが、あまりに詳細なリスクアセスメントを実施すると作業量が膨大になり、ISMSの運用上大きな問題になります。効果と効率を両立させた適切なリスクアセスメント手法を採用することが肝要です。

4．ISMS（情報セキュリティマネジメントシステム）の構築

JISQ27001に従ったISMS文書（規程・マニュアル等）を整備します。JISQ27001では実施しなければならない事項が定められていますが、具体的にどのように実施するかについては定められています。自社の実態に即したルールを定めることがポイントです。

5．ISMS（情報セキュリティマネジメントシステム）の運用

(4)で整備したISMS文書に従い、ISMSを運用します。具体的には、社内の情報セキュリティ教育、情報資産の施錠保管、入退室管理、サーバ・PCの情報セキュリティ、事業継続管理、法令順守、監査、代表者による見直しなどを実施します。

6．審査

第一段階審査、第二段階審査の2段階で審査が行われます。審査日数は、組織の規模に応じて異なります。

いずれの審査でもISMSの審査員が来社し、代表者のインタビュー、管理責任者などへのヒアリング、現場での実施状況の確認などが行われます。改善指摘がなされた場合は、是正報告書をまとめ審査員に提出します。

7．認定

指摘事項に対する改善が認められればISMS(ISO27001)が認証されます。