セキュリティ
その他
情報セキュリティマネジメントシステム(ISMS)関連ソリューション
ISO 27001(ISMS)の認証を取得することだけが目的になっていませんか?
NTTテクノクロスは、真に経営に役立つISMSの活用をご提案いたします。
ISMSとは何か
情報セキュリティに関するマネジメントシステム
ISMSとは、Information Security Management Systemの頭文字で、日本語で言うと「情報セキュリティマネジメントシステム」となります。マネジメントシステムとは、PDCA(plan-do-check-act)サイクルを回して、継続的な改善を実現する仕組みのことです。
ISMSの国際規格(ISO/IEC 27001)
ISO/IEC 27001は、本文と附属書Aの2つから構成されています。
本文は、PDCAサイクルを回す上での要件を定めており、0章から10章までの構造は品質(ISO 9001)や環境(ISO 14001)の規格と共通になっています。
本文は、PDCAサイクルを回す上での要件を定めており、0章から10章までの構造は品質(ISO 9001)や環境(ISO 14001)の規格と共通になっています。
附属書Aは、A.5からA.18までの14の大項目から構成され、様々な情報セキュリティリスクに対応するための管理策(対策)を定めています。
品質(ISO 9001)や環境(ISO 14001)の規格は本文しかありませんので、附属書Aが定められているのが、情報セキュリティ(ISO/IEC 27001)の規格の特徴です。
品質(ISO 9001)や環境(ISO 14001)の規格は本文しかありませんので、附属書Aが定められているのが、情報セキュリティ(ISO/IEC 27001)の規格の特徴です。
ISMS導入のメリット
情報セキュリティリスクの見える化
ISMS導入の際に、情報資産を洗い出し、リスクアセスメントを実施することで、どのような情報セキュリティリスクが残存しているのかが見えるようになります。
そして、それらの残存リスクに対して、附属書Aの管理策を参考に、組織としての情報セキュリティリスク対策を検討、実施することができます。
そして、それらの残存リスクに対して、附属書Aの管理策を参考に、組織としての情報セキュリティリスク対策を検討、実施することができます。
PDCA(plan-do-check-act)サイクルの定着
マネジメントシステムの導入により、組織内にPDCAサイクルが定着することが期待できます。
PDCAサイクルを回すことは、情報セキュリティに限らず、様々なリスク管理や継続的改善に共通に適用可能な考え方ですので、組織の管理水準向上が期待できます。
PDCAサイクルを回すことは、情報セキュリティに限らず、様々なリスク管理や継続的改善に共通に適用可能な考え方ですので、組織の管理水準向上が期待できます。
複数のISO規格認証取得が容易
規格の本文に記載されたPDCAを回す上での要件については、「品質(ISO 9001)」や「環境(ISO 14001)」等の他の国際規格と多くの点で共通になっています。
そのため、「複数規格に基づくマネジメントシステムの統合運用」および「統合認証取得」により、個々の規格をバラバラに運用するよりも、トータルコストを軽減できます。
そのため、「複数規格に基づくマネジメントシステムの統合運用」および「統合認証取得」により、個々の規格をバラバラに運用するよりも、トータルコストを軽減できます。
ISMS(ISO/IEC 27001)認証取得
審査機関による審査
自組織に導入した情報セキュリティマネジメントシステムが、ISMSの国際規格(ISO/IEC 27001)に準拠していることについて審査機関の審査を受け、適合していると評価された場合に、認証を取得することができます。
認証取得のメリット
ISMSを構築するだけでも前述のメリットがありますが、ISMS認証を取得することにより、さらに以下のメリットがあります。
①社会的信頼の獲得
外部の第三者である認証機関により、国際規格に準拠したISMSを構築していることのお墨付きを得られますので、PDCAサイクルを回し継続的に改善を進めている組織であることが証明されます。
(認証機関自体も、認証機関としての要件を満たしていることを認定機関に認定されていますので、認証機関による認証の基準は厳格で信頼できるものです)
②問題点の発見と継続的な改善の定着
第三者である審査機関に審査をしてもらう過程で、組織内部では気がつかなかった問題やリスクに気づくことが期待できます。その結果、より適切に問題への対処やリスク対策が実施出来るようになります。
また、認証を維持するためには、毎年審査機関による審査を受ける必要があります。毎年の審査の際に、組織のISMSについて、問題点、よく出来ている点、改善すべき点などを再認識し、継続的な改善に反映することが定着しやすくなります。
①社会的信頼の獲得
外部の第三者である認証機関により、国際規格に準拠したISMSを構築していることのお墨付きを得られますので、PDCAサイクルを回し継続的に改善を進めている組織であることが証明されます。
(認証機関自体も、認証機関としての要件を満たしていることを認定機関に認定されていますので、認証機関による認証の基準は厳格で信頼できるものです)
②問題点の発見と継続的な改善の定着
第三者である審査機関に審査をしてもらう過程で、組織内部では気がつかなかった問題やリスクに気づくことが期待できます。その結果、より適切に問題への対処やリスク対策が実施出来るようになります。
また、認証を維持するためには、毎年審査機関による審査を受ける必要があります。毎年の審査の際に、組織のISMSについて、問題点、よく出来ている点、改善すべき点などを再認識し、継続的な改善に反映することが定着しやすくなります。
ISO/IEC 27001認証取得の要件
規格の本文に記載された要件は、全て満足する必要があります。
附属書Aに記載された管理策は、具体的にどのように実施するかを決めて実施する必要があります。(附属書Aには、具体的な実施内容は記載されていません)
業務内容およびリスクに応じて、どのような対策を実施するかを経営判断しますので、経営上容認できないような高コストの対策が必須になることはありません。
附属書Aの管理策は、必要な管理策の見落としを防ぐための包括的なリストです。適用組織の業務によっては、附属書Aの管理策の一部が適用対象外になったり、逆に、追加の管理策が必要になったりする場合もありえます。
附属書Aに記載された管理策は、具体的にどのように実施するかを決めて実施する必要があります。(附属書Aには、具体的な実施内容は記載されていません)
業務内容およびリスクに応じて、どのような対策を実施するかを経営判断しますので、経営上容認できないような高コストの対策が必須になることはありません。
附属書Aの管理策は、必要な管理策の見落としを防ぐための包括的なリストです。適用組織の業務によっては、附属書Aの管理策の一部が適用対象外になったり、逆に、追加の管理策が必要になったりする場合もありえます。
ISO/IEC 27001認証取得で注意すべき点
無事に認証取得が出来たとしても、それはゴールではありません。
これから、末永くISMSを運用し、認証を維持し、継続的改善を推進するスタートです。
新規の認証取得に要する手間・お金・時間は、少なければ少ないほうが良いのは当然です。ただし、過度に削減することにより、運用が非常に困難なISMSになってしまわないように注意する必要があります。運用が非常に困難なISMSでは、運用を継続するための手間が過大で、運用が定着せずに形骸化し、導入効果が全く見えないのに手間だけがかかるということになりがちです。
昨今では「調達条件」になっているのでISMS認証取得を目指すという事例が少なくありません。このような「社会的信頼」獲得目的で認証取得を目指す場合は、認証取得自体が目的になりがちで、認証取得後の運用継続への配慮が不足して形骸化しやすいので、特に注意が必要です。
ISMSを導入する理由をよく考えて、組織に対して末永く最大のメリットをもたらすことを目指して導入することを強くお勧めします。
これから、末永くISMSを運用し、認証を維持し、継続的改善を推進するスタートです。
新規の認証取得に要する手間・お金・時間は、少なければ少ないほうが良いのは当然です。ただし、過度に削減することにより、運用が非常に困難なISMSになってしまわないように注意する必要があります。運用が非常に困難なISMSでは、運用を継続するための手間が過大で、運用が定着せずに形骸化し、導入効果が全く見えないのに手間だけがかかるということになりがちです。
昨今では「調達条件」になっているのでISMS認証取得を目指すという事例が少なくありません。このような「社会的信頼」獲得目的で認証取得を目指す場合は、認証取得自体が目的になりがちで、認証取得後の運用継続への配慮が不足して形骸化しやすいので、特に注意が必要です。
ISMSを導入する理由をよく考えて、組織に対して末永く最大のメリットをもたらすことを目指して導入することを強くお勧めします。
NTTテクノクロスの提供サービス
ISMS認証取得支援コンサルティング
ISMS構築やISMS認証取得支援に関して、様々なご支援をいたします。
ISMS運用支援コンサルティング
ISMS運用改善や2年目以降のISMS定期審査・更新審査に関して、様々なご支援をいたします。
ISMS監査支援サービス
ISMSの運用状況の監査に関して、様々なご支援をいたします。
その他の関連サービス
◆複数のISO規格の統合運用や統合認証をご支援します。
統合マネジメントシステム関連コンサルティングの詳細はコチラ > >
◆個人情報保護マネジメントシステムの構築やプライバシーマーク認証をご支援します。
プライバシーマーク関連コンサルティングの詳細はコチラ > >
◆クラウドにおけるISMSの構築や認証をご支援します。
クラウドに特化したISO/IEC 27017関連コンサルティングの詳細はコチラ > >