ISMS認証の取得は、組織が情報セキュリティ対策を適切に実施していることの客観的な証明として有効です。
とは言え、いったいどんな企業がどんな目的でどうやって取得しているのか、なかなかイメージがつきづらい部分もあるかもしれません。また、自社に必要なのかどうかが気になる方もいらっしゃるでしょう。
本記事ではISMS認証、取得企業の特徴や、ISMSの必要性・トレンドついて紹介します。
また、ISMS認証取得企業のご担当者様必見。2022年ISO27001規格改訂の変更内容と取るべき対応をまとめた資料を無料で配布しています。ぜひご一読ください。
ISMSについて振り返る
まず、ISMSとはいったい何なのか、振り返りましょう。
ISMSは、自社の情報セキュリティリスクを管理する仕組みのことで、個別のリスク毎に技術的対策や組織的対策、人的対策を駆使して対応します。
ISMSに則った活動として、
- ISMSに関する方針の決定
- 計画の策定
- 対策に必要なリソースの確保
- 計画の運用
- 有効性の評価
- 継続的な改善
などを行い、ISMS規格に基づいた取り組みを進めることが必要です。
ISMSの規格は、ISO(国際標準化機構)と、IEC(国際電気標準化機構)が共同で策定した「ISO/IEC 27001」と、これをJIS(日本工業規格)が日本語訳した「JIS Q 27001」があります。
ちなみに、ISO/IEC 27001は2022年に新規格に改訂され、それに伴ってJIS Q 27001は2023年に改訂されました。ISMSの最新トレンドを把握する意味でも、新規格に対応する意味でも、しっかり内容を把握しておきましょう。
ISMSが達成すべきことは、以下の3つです。
- 情報の機密性
- 情報の完全性
- 情報の可用性
つまり、ISMS認証を取得しているということは、バランス良く維持・改善し、リスクを適切に管理しているという信頼を利害関係者に与えることができます。
ISMSの必要性
ここまで、ISMSについておさらいしました。ISMS認証の取得は必須ではありませんが、世の中の多くの企業が必要性を感じ、取得しています。
企業として、ISMS認証取得が必要な理由をいくつか挙げます。
- リスク管理
- 法規制の遵守
- 信頼の構築
- 事業継続性
リスク管理
ISMSによって情報セキュリティリスクを特定、評価、管理ができます。これにより、「情報漏えい」「セキュリティリスク」といった、様々なリスクを認識できるようになり、リスクを適切に管理する仕組みを作ることができます。また、長期的なビジネス計画を立てやすくなるなど、経営上のアドバンテージにもなります。
法規制の遵守
多くの業界では、情報セキュリティに関する法規制の遵守が求められています。ISMSは、この法令遵守の要件を満たすためのフレームワークになるため、会社のルールを整備するためにとても役立ちます。
信頼の構築
ISMSを導入することで、顧客やパートナーに対して組織が情報セキュリティに取り組んでいることを示せます。自治体や官公庁では入札要件にISMS認証の取得を上げている場合も多く、ビジネスチャンス拡大にも寄与します。
事業継続性
ISMSは、情報セキュリティインシデントが発生した場合の対応策を定めます。万が一の事態でも、事前対策や緊急時対応によって被害が最小限に抑えられます。したがって、インシデント発生による被害を食い止め、事業の継続性を確保します。
以上のように、ISMSは情報セキュリティを確保し、経営を支える重要な要素でもあるのです。
ISMSを取得している企業の特徴とは
では、ISMS(情報セキュリティマネジメントシステム)を取得している企業にはどんな特徴があるのでしょうか。
BtoBがメインの企業
比較的、BtoCというよりはBtoBの企業の方がISMS認証を取得する傾向にあります。
多くのBtoB企業では、委託や外注などの形で顧客企業の機密情報・消費者の個人情報などを扱うことになります。
企業は当然、信頼できる委託先・外注先を選びますので、ISMS認証で情報を正しく取り扱えることを証明しておけば、ひとつの競合優位性となります。
IT業界や情報通信業界の企業
IT業界や情報通信業界の企業は、どうしてもシステム開発で個人情報・機密情報を多く取り扱います。
また、インターネットやクラウドを駆使して業務するため、どうしても不正アクセスや情報漏えいの発生する機会が多くなってしまいます。
大企業
多くの人数が参画する組織で効率的・効果的にしっかり情報セキュリティ体制を整えるためには、どうしてもISMSのような仕組みが必要になります。
また、企業規模が多ければそれだけ顧客や取引先といったステークホルダーも多くなるため、それらによる要請でISMS認証を取得することも考えられます。
このように、敢えて具体的な特徴を上げると様々ですが、
- 顧客の機密情報や個人情報を扱う企業
- 情報を正しく扱う必要がある企業
といった特徴が共通するかと思われます。
ISMS取得企業数の推移
ISMS認証を取得している企業を業種別でみると、情報技術業の企業が58.2%と半分以上の割合を占めています。
- 情報技術(58.2%)
- その他サービス業(16.8%)
- 建設業※エンジニアリングを含む(4.2%)
- 卸売り・小売業(3.8%)
その情報技術系の企業の中でも、以下の業種でISMS認証取得が進んでいます。
- 受注ソフトウェア業(35.8%)
- システムインテグレーション業(30.7%)
- ソフトウェアプロダクト業(10.0%)
ISMSを取得する際の注意点
ISMSの推移について解説しました。
では、ISMSを取得する際の注意点は何があるでしょうか。よくある失敗を見てみましょう。
認証範囲をいきなり会社全体にしてしまう
実は、ISMS認証は、本社のみ、特定の部署のみ、など範囲を絞っての取得が可能です。
後先を考えず会社全体を認証範囲にしてしまうと、取得や運用にかかる工数が膨大になってしまい、形だけのISMSになってしまうか、最悪の場合、取得を断念せざるを得ない可能性もあります。
最終的に全社を認証範囲含めるにしても、始めはわからないことばかりで工数が過剰にかかってしまうと思いますので、まずは最低限の範囲で認証取得し、社内にノウハウやナレッジがたまってきた段階で認証範囲を広げましょう。
審査機関の選定を雑にしてしまう
ISMS認証は国際規格なので、基本的にはどの審査機関を選んでも同じ審査基準です。
しかし、審査機関によって優先的に見るポイントや審査にかかる費用など、意外に違う点も多いものです。
審査機関の選定の際には、複数の審査機関で相見積もりをかけて、自社に合った機関を選択することをおすすめします。
取得までの期間を見誤る
ISMSは長期戦です。ISMS認証取得までには、スムーズにいっても半年から1年ほどかかると言われています。
専門的な知識や対応が求められるため、通常業務と並行して認証取得する場合は、しっかり余裕を持ったスケジュールを組みましょう。また、認証取得ができたからといって終わりではありません。運用にも一定の工数はかかりますので、覚悟しておきましょう。
専門的な知識が欠けている
ISMS認証取得には、ISMSや情報セキュリティの専門的な知識が必要です。その一方で、リスクの洗い出しには業務への深い理解が不可欠です。
前者は当然ながら、後者が無かった場合、自社の業務にそぐわないガチガチすぎるルールや逆に意味のないルールを量産してしまうことになります。しっかり専門的な知識を押さえておく必要があります。
従業員を巻き込めない
規定やルールを作っても、社内で適切に守られていなければ意味がありません。従業員へISMSの重要性を伝えて、一人一人のセキュリティ意識を高めていくことが大切です。
意外にも経営層の理解が得られない場合も多く、その説得に時間がかかることも少なくありません。従業員を巻き込むことができれば、先述の業務への深い理解は、従業員に手伝ってもらうことでクリアできます。
ISMS認証の取得をお考えの企業様は、まずはLRMにご相談ください。
年間580社以上※・18年の支援実績をもとに貴社に最適なISMS認証取得を実現します。
※2023年8月1日~2024年7月31日のコンサルティング支援社数
まとめ
ISMSの取得企業の特徴について解説しました。
ちなみに、情報セキュリティ体制の対外的な証明になるISO27001は、認証取得後も毎年審査を受け続けなくてはなりません。ISO27001認証の取得を検討中であれば、取得後の定期業務と化す受審のため、社内リソースの準備やスケジュール組み込みなどの用意が必要です。
また、これからISMS認証取得をお考えの方へ、LRMではISMS認証取得までの対応をまとめたチェックリストを無料で配布しています。熟練したISMS認証取得コンサルタントが監修しており、抜けもれなく認証取得が可能です。
