ISMSとは?
ISMS(Information Security Management System)とは、情報の機密性や安全性、可用性を維持して改善し続ける仕組みです。
日本語では、「情報マネジメントシステム」と呼ばれています。
つまりISMSも目的は、下記の2つです。
- 利便性の高い状態で情報を保護する
- 企業が保有する情報の外部流出を防ぐ
近年は、ITシステムが社会インフラに不可欠な存在になっている一方で、ウイルスや標的型攻撃などの被害も多発しています。
これらの脅威にリスクアセスメントを適切に実施して、企業が情報セキュリティを確保するにはISMSの構築・運用が欠かせません。
そのため情報の「機密性・安全性・可用性」の維持と改善に努めて、リスク管理を適切に行なっている信頼を利害関係者に与える必要があります。
次に、下記の3点について解説していきます。
- 情報セキュリティの3要素
- ISMSとPマークの違い
- ISMS認証の費用相場
ひとつずつ見ていきましょう。
情報セキュリティの3要素
前述したように、ISMSの情報セキュリティには「機密性・安全性・可用性」の3つの要素があります。
それぞれの要素の定義は、下記の通りです。
- 機密性:情報資産の利用を認可されていない人に情報を利用・開示させない
- 安全性:情報資産を削除・改ざんされない
- 可用性:情報資産の利用を認可されている人が迅速に利用・アクセスできる
機密性と安全性は、第三者からの削除や改ざん、不正利用を防ぐために必要なセキュリティ要素です。
しかし機密性と安全性だけを求めても、利用者が必要なタイミングで情報にアクセスできない可能性も考えられます。
なので可用性の観点も重要視することで、ISMSの情報セキュリティはバランスよく保たれています。
ISMSとPマークの違い
ISMSとP(プライバシー)マークでは、個人情報を管理・運用している対象と規格が異なります。
それぞれの違いは、下記の通りです。
| 対象 | 規格 | |
| ISMS | 企業全体または一部の企業が所有する情報資産全般 | ISO/IEC27001・ JIS Q 27001 |
| Pマーク | 企業全体で所有する個人情報 | JISQ15001 |
ちなみにPマークとは、企業が取り扱う個人情報の仕組み・運用が適切であるか判断して、適切に行われている場合にマークで示される制度です。
ISMSは国際規格に基づいているため、国際的な機関から認証を受けた制度として世界に向けてアピールできます。
しかし、Pマークは日本独自の規格に基づいているので、アピール力は日本国内限定の制度です。
こちらの記事では、標的型攻撃の手法や流れ、対策を解説しているので、ぜひ参考にしてください。
ISMS認証の費用相場
ISMS認証の費用相場は、業種や人数規模によって異なります。
審査にあたっての費用相場は、下記の通りです。
| 1〜20名 | 21〜50名 | 51〜100名 | 101名以上 | |
| 製造業・加工業 | 51万円 | 73万円 | 103万円 | 123万円 |
| 建築・建設業 | 51万円 | 71万円 | 97万円 | 129万円 |
| ITサービス | 54万円 | 76万円 | 98万円 | 120万円 |
| システム開発 | 53万円 | 74万円 | 97万円 | 120万円 |
| Web制作 | 55万円 | 81万円 | 97万円 | – |
| 卸売業・小売業 | 52万円 | 77万円 | 104万円 | 114万円 |
| コンサル業 | 51万円 | 82万円 | 95万円 | 103万円 |
| 保険業 | 58万円 | – | 100万円 | 113万円 |
| 不動産業 | 62万円 | – | 97万円 | 113万円 |
ISMSを取得するには、審査費用が必ずかかります。
認証機関や認証範囲によっても費用は異なりますが、50〜130万円が費用相場です。
コンサルティング会社に依頼した場合は、さらにコンサルティング料も発生するでしょう。
しかしコンサルティングを依頼することで、作業工数の低減や本業へ従事する時間を確保できます。
そのため中長期で考えた場合、コンサルティング会社に依頼した方がコストを抑えられる可能性もあります。
ISMSの規格
ここまで、ISMSの概要やPマークとの違い、費用相場などをお伝えしました。
続いて、ISMSの規格を解説します。
- ISO/IEC 27001
- JIS Q 27001
ひとつずつ解説していきます。
ISO/IEC 27001
ISO/IEC 27001とは、ISO(International Organization for Standardization)とIEC(International Electrotechnical Commission)が合同で策定した情報セキュリティに関する国際規格です。
日本語では、「ISO=国際標準化機構」「IEC=国際電気標準会議」と呼ばれています。
ISO/IEC 27001を取得する方法は、下記の通りです。
- 適用範囲を決める
- プロジェクトチームを結成する
- 情報セキュリティに関する方針を決定する
- リスクアセスメントを行う
- 適用宣言書や手順、マニュアルを文書化する
- 内部監査を行う
- マネジメントレビューを行う
- 認証機関を決定して、申請・審査を受ける
ISO/IEC 27001には、ISMSを有効に機能させるガイドラインの役割があります。
そのため要求事項に沿ったISMSの構築・運用を行うことで、情報セキュリティリスクの低減が可能です。
JIS Q 27001
JIS Q 27001とは、ISO/IEC 27001を日本語に翻訳した日本向けの規格です。
ちなみにJISは日本語で、「日本産業規格」と呼ばれています。
JIS Q 27001は本文と附属書Aの規格に分かれており、それぞれの違いは下記の通りです。
- 本文:ISMSを構築するにあたって、必要な事項が記載されている
- 附属書A:リスクに対応するための管理策の例が114個あげられている
本文に記載されている事項が守れていない場合、認証は取得できないので注意しましょう。
また附属書Aは、どの管理策を企業ごとに適用するか選択できます。
仮に適用しない場合が、適用宣言書に理由を記載しなければいけません。
ISMS認証評価制度における機関
ここまで、ISMSの規格についてお伝えしました。
続いて、ISMS認証評価制度における機関を解説します。
- 認証機関
- 要員認証機関
- 認定機関
ひとつずつ解説していきます。
認証機関
認証機関とは、ISMSがISO認証の取得を希望している企業を審査・登録するための機関です。
日本国内には、50〜80社の認証機関が存在しています。
認証機関を選ぶ際のポイントは、下記の3つです。
- 審査費用は適切であるか
- 自社の要望に合わせて対応してくれるかどうか
- 審査日程の調整連絡や対応に関してのスピード感
同じ審査でも、認証機関によって費用が3倍近く違う場合もあるので、複数の機関に相見積もりを取りましょう。
また、「ISMS認証機関一覧」サイトから認証機関を調べることができます。
要員認証機関
要員認証機関とは、特定の基準を照らして力量があるかどうかを第三者として評価・証明する機関です。
前述したISO/IEC 27001やJIS Q 27001に基づいて、認証業務の審査・評価をしています。
要員認証機関を介して審査や評価を受ける際の企業側のメリットは、下記の通りです。
- 要員のスキルを確認できる
- 認証された要員のスキルを利用する目的で雇用できる
- 国際基準に基づいて要員認証機関は認定されているので、国際的に受け入れられやすい
また、要員に求められるスキルは分野によって異なり、内容に応じて筆記・面接・実技など評価方法が異なります。
認定機関
認定機関はJIS法(産業標準化法)に基づき、各国に基本的に1機関だけ存在する認定産業標準作成機関です。
公正性や中立性、透明性を確保しつつ、JIS案に係る実質的な利害関係者の意向を反映する「JIS案作成体制」を整備しています。
認定機関の役割は、下記の2つです。
- ISOマネジメントシステムにおける認証制度の確立
- ISOを維持するにあたって、中心的役割を担うこと
つまり、国際的に決められたルールに則って評価する役割を担っています。
認定行為は審査機関だけでなく、JAB(日本適合性認定協会)のISO審査で評価登録を行う、要員認証機関への認定業務も含まれます。
ISMS認証に必要な審査
ここまで、ISMS認証評価制度における機関をお伝えしました。
続いて、ISMS認証に必要な審査を解説します。
- 取得審査
- 維持審査
- 更新審査
それぞれ解説していきます。
取得審査
取得審査とは、ISMSを取得するために必要な審査です。
審査機関によって、「初回審査」と呼ばれる場合もあります。
審査は一次審査(第一段落審査)と二次審査(第二段落審査)に分けられ、それぞれの目的は下記の通りです。
- 一次審査(第一段落審査):文書フォーマットの確認が中心となる審査。ISMSの関連文書が適切に整備されているか確認する。
- 二次審査(第二段落審査):ISMSの関連文書に沿って「書面上のルールが機能しているか」「従業員が守っているか」などの運用状況を確認する。
取得審査は必ず一次審査と二次審査に分けて実施されるので、約1ヶ月かかるでしょう。
維持審査
維持審査とは、ISMS取得後に毎年運用状況を確認する審査です。
そのほかに定期審査やサーベランス審査とも呼ばれています。
維持審査の目的は、前回の審査から問題なく運用が続けられているかどうかを確認することです。
1年間の運用状況のみの確認なので、そのほかの審査より費用を抑えられます。
更新審査
更新審査とは、前回の更新審査から3年おきに運用状況を確認する審査です。
審査機関によっては、再認証審査と呼ぶこともあります。
更新審査の目的は、下記の2つです。
- ISO認証の更新に問題がないか確認すること
- 前回の更新時から変更事項や運用状況を確認して問題ないか確認すること
3年分の運用状況を確認するので、審査期間や工数は維持審査より多くなります。
ISMS認証取得までの取り組み
ISMS認証取得するには、情報資産の洗い出しやリスク対応策の選定、リスクアセスメントなどを行います。
また、従業員教育や内部監査などの取り組みも必要です。
ISMSを審査する際には、下記の流れで行われます。
- オープニングインタビュー
- トップインタビュー
- 現場視察
- 管理責任者へのヒアリング
- (前回審査の観察事項についての対応確認)
- 各部署へのヒアリング
- クロージングミーティング
大まかな流れは全ての審査で共通していますが、更新審査の際は最初の登録内容について再確認されます。
また、各部署や管理責任者へのヒアリングは、より多くの時間がかかってしまうので覚えておきましょう。
まとめ
今回は、ISMSの規格や認証評価制度における機関、取得までの取り組みを解説しました。
ISMSとは、情報の機密性や安全性、可用性を維持して改善し続ける仕組みです。
また、ISMS認証評価制度における機関には下記の3つがあります。
- 認証機関
- 要員認証機関
- 認定機関
本記事でお伝えした必要な審査や取得までの流れも参考にして、ISMSの取得を検討してください。
【SNSフォローのお願い】
kyozonは日常のビジネスをスマートにする情報を毎日お届けしています。
今回の記事が「役に立った!」という方はtwitterとfacebookもフォローいただければ幸いです。
twitter:https://twitter.com/kyozon_comix
