ISO27001

ISO27001 情報セキュリティマネジメントシステム

ISO27001とは

企業等組織運営活動における基盤のIT(情報技術)への依存度が高まるにつれて、機密情報や個人情報の大規模あるいは広範囲な漏えい、ネットワーク犯罪等が相次いで発生しており、経営上あるいは社会的な問題として大きな影響を与えています。いまや情報セキュリティは、企業等組織の経営管理の重要課題となっています。
組織の運営にとって、「情報(Information)」は“人・物・金”と同様に重要な経営資源です。また同時に「情報」は、漏えい、破壊などのリスクを常に背負っています。 今や、様々なリスクを回避し、「情報」を有効に活用することは組織の円滑な運営に必須となっています。
ISO27001は、組織全体で「情報」を管理し、様々なリスクを低減して、「情報」を効率的に利用できるようにするための仕組みです。

ISO27001の内容

ISO27001は、情報セキュリティマネジメントシステム(ISMS=Information Security Management System)の国際標準規格として2005年10月に発行され、その後、ISOにおいてMSSの上位構造(High Level Structure)共通テキスト(Identical Core Text)及び共通用語・定義が開発されたことにより、ISO27001においてもこれらに基づいて改定作業が進められ、2013年10月1日にISO/IEC27001:2013が発行されました。

ISO27001では、組織が持つ「情報」について「機密性・完全性・可用性」(下記参照)という3要素をバランスよく維持管理することが求められています。
まず、保有する「情報」とそのリスクの洗い出しを行います。そして、リスク低減のためのセキュリティ対策を計画し、実施します。次いでその効果を評価し、管理方法を見直します。一連の活動は、「Plan(計画)、Do(実施)、Check(点検)、Act(処置)」という PDCA で実施し、継続的に情報セキュリティの実績を改善していきます。PDCAサイクルはISO9001(品質マネジメントシステム)ISO14001(環境マネジメントシステム)といった、他のマネジメントシステムとの共通した考え方です。

機密性 : 許可者以外に情報が使用または公開されないようにする
完全性 : 情報の正確さを保護するために作成や編集を制限する
可用性 : 必要な情報が必要なときに利用できるようにする

ISO/IEC 27001:2013 の構成
0. 序文
1. 適用範囲
2. 引用規格
3. 用語及び定義
4. 組織の状況
4.1 組織及びその状況の理解
4.2 利害関係者のニーズ及び期待の理解
4.3 情報セキュリティマネジメントシステムの適用範囲の決定
4.4 情報セキュリティマネジメントシステム
5. リーダーシップ
5.1 リーダーシップ及びコミットメント
5.2 方針
5.3 組織の役割、責任及び権限
6. 計画
6.1 リスク及び機会への取り組み
    6.1.1 一般
    6.1.2 情報セキュリティリスクアセスメント
    6.1.3 情報セキュリティリスク対応
6.2 情報セキュリティ目的及びそれを達成するための計画
7. 支援
7.1 資源
7.2 力量
7.3 認識
7.4 コミュニケーション
7.5 文書化された情報
7.5.1 一般
7.5.2 作成及び更新
7.5.3 文書化した情報の管理
8. 運用
8.1 運用の計画及び管理
  8.2 情報セキュリティリスクアセスメント
  8.3 情報セキュリティリスク対応
9. パフォーマンス評価
9.1 監視、測定、分析及び評価
9.2 内部監査
9.3 マネジメントレビュー
10. 改善
10.1 不適合及び是正処置
10.2 継続的改善
附属書A(規定)管理目的及び管理策

※太字箇所は、MSSの上位構造、共通テキストにないISO27001独自の要求事項

ISO27001認証取得のメリット

  • 情報セキュリティに関して社会的な信用確保、企業イメージの向上
  • 顧客、取引先との信頼確立
  • 新規顧客開拓に必要な要件
  • 個人情報保護法等のコンプライアンス(法令順守)の徹底
  • 組織内の「情報」に対する意識高揚、情報漏えいの未然防止
  • 組織の「情報」管理システムの確立
  • 官公庁の情報関連業務の入札条件となる場合に有効

テクノソフトの取得支援の特徴

  1. 業態に合った適切な情報資産の取扱いができる体制作りを目指します。
  2. 情報資産の取扱いに関連するリスク分析 及び 評価をどのように実施すれば良いか、また業態に合った運営体制確立に向けてのアドバイスを行ないます。
  3. 情報資産を業務上活用することを前提とした、取扱い要領・ルール等を明確にした上で、他のマネジメントシステム(ISO9001ISO14001JISQ15001等)と整合した効率的なマネジメントシステムの確立を目指すアドバイスを行ないます。
  4. 主だった規定文書類は参考としてサンプル文書を活用し、文書作成作業の負荷軽減を図るとともに、無理・無駄のないマネジメントシステムの構築を支援いたします。文書の作成は、コンサルタントと共同にて作成します。

ISO27001認証取得までの流れ

ステップ 項目 概要
第1段階
(約6ヶ月※1
1 現状分析と規格の理解
  • 経営者の決意・基本方針
  • 取得活動の体制整備・推進計画
  • 規格要求事項の理解
2 マネジメントシステム構築
  • 情報セキュリティ方針の策定
  • ISMSマニュアルの作成
  • リスクアセスメント※2
  • 適用宣言書作成
  • リスク対応計画の作成
  • 情報セキュリティ目的の設定
  • 各種規定・手順書・帳票の作成・整備
第2段階
(約6ヶ月※1
3 マネジメントシステム運用
  • 従業員教育
  • 内部監査員養成
  • 内部監査
  • 記録の整備
  • マネジメントレビュー
  • 是正処置、システム改善
4 審査対応
  • 第一段階審査
  • 第二段階審査
  • 是正処置
  • ※1 認証取得までの期間につきましては、業態や他のISO規格の認証取得状況により異なる場合があります。
  • ※2 リスクアセスメントとは、情報資産に対して、その情報がもつ重要度、発生確率、影響度などを評価・分析し、情報資産が内包するリスクを測定することを指します。

プライバシーマークとの関係

プライバシーマークは、JISQ15001規格に適合して、「個人情報」について適切な保護措置を講ずる体制を整備している事業者等を認定して、その旨を示すプライバシーマークを付与し、事業活動に関してプライバシーマークの使用を認める日本の制度です。
一方、ISO27001は「個人情報」を含めた「情報資産全般」の安全のための国際規格です。
いずれも、組織全体で実施するマネジメントシステムで、リスク評価、PDCAが基本となっています。
ただし、プライバシーマークの付与は事業者単位(法人単位)でしか認められませんが、ISO27001では部門、事業所での認証取得も可能となっています。
ISO27001と他のマネジメントシステムとの文書共有・スリム化については、コンサルティング事例をご覧ください。

無料見積もりはこちらまで