企業において情報セキュリティ対策は必須の取り組みです。しかし体系的かつ網羅的に管理するためには、場当たり的な対応では意味がありません。情報セキュリティ対策をマネジメントシステムとしてとらえ評価する仕組みとして、ISO27001があります。
この記事では、ISO27001認証の取得のメリットから手順まで詳しく解説します。
また、ISMS認証取得をお考えの方にはLRMのコンサルティングサービスがオススメです。まずはお気軽にお問い合わせください。
ISO27001についておさらい
ISO27001とは「Information Security Management Systems」の略語であり、日本語では「情報セキュリティマネジメントシステム」と訳されます。
企業において、顧客情報や個人情報、パソコンやスマートフォンなどの情報資産は事業を展開していくうえで欠かせないものとなっています。これらの情報資産の適切な管理と保護に関して仕組みを作りマネジメントする態勢がISO27001です。
そして企業がISO27001に準拠しているかどうか第三者によって認定する仕組みとしてISMS適合性評価制度があります。この制度の審査条件を満たすことで企業はISMS認証を受けられるようになっています。
IT企業に限らず多くの企業において、情報資産の重要性は増してきています。企業がISMS認証を受けることは、自社の情報セキュリティ体制を充実させるだけでなく、取引先や顧客から信頼される企業となるために、もはや必須といえるのです。
ISO27001規格における適用範囲
ISO27001規格では、「事業・組織・所在地・資産・技術の特徴の観点から、ISMSの適用範囲及び境界を定義する。」と定めています。このことから、適用範囲や境界を明確に定める必要があります。
基本的には、適用範囲は事業所名や部署名とその住所が明示されます。
適用範囲の条件は、大きく下記の三つが考えられます。
- 物理的に離れている、または独立していること
- ひとつのマネジメントとして成立していて、合理的に説明しうる境界をもっていること
- 情報資産におけるセキュリティ要件が同等かまたは類似していること
境界については、業務のフローや組織を図示することで明らかになります。また、ネットワーク図で、ルータ間の境界をはじめとする物理的な境界を規定することができます。
適用範囲は審査登録機関の作業量や費用にも関係しています。そのため、審査登録機関は当該組織に対し、アンケートを実施することで、上記の基本条件を中心に以下のような観点から適用範囲を明確に定義します。
- 業務内容
- 人員(外部からの派遣者も含む)
- 場所(数や、設備など)
- 情報技術(ソフトウェアやネットワーク環境など)
- 情報資産
このことから、実務的には優先順位と緊急性を勘案し、取り掛かりやすく、効果の出やすいところから始めるべきであるとされています。
ISO27001認証取得のメリットとは
ISO27001認証を取得することで、企業には以下のメリットがあります。
企業の信頼性や安心感が向上する
ISO27001認証を取得するには厳しい審査をクリアしなければなりません。それだけこの認証には価値があり、企業にとって大きなアピールポイントになります。
ISO27001認証の取得の過程で企業は情報セキュリティ対策のルールやマニュアルの整備、情報資産の適切な管理体制の構築、全社員に対する情報セキュリティ講習の実施など、さまざまな観点で情報セキュリティに対する取り組みを行います。その結果、企業の信頼性や安心感が向上し、取引先の拡大などの効果が見込まれるのです。
社員の情報セキュリティリテラシーが向上する
企業によっては社員一人ひとりにパソコンやタブレットなどを貸与することがあり、情報セキュリティリテラシーの低さが原因で、それらのデバイスから情報漏洩するリスクが無視できません。
ISO27001では、社員への定期的な情報セキュリティ教育が必須とされており、他社の情報セキュリティ事故の事例や情報管理に必要なモラルなどを学ぶ機会が設けられています。これにより社員一人ひとりの情報セキュリティリテラシーが向上し、自社における情報セキュリティ事故の数を低減させることが可能となります。
情報セキュリティリスクを低減できる
顧客情報や個人事業などの情報資産や、業務で使用するパソコンやタブレットなどのデバイスなどは、不適切な取り扱いにより情報漏洩などのリスクを生じさせます。
企業全体あるいは部署ごとに、どの程度のリスクがあるのか、ISO27001の基準に基づいて洗い出して把握することができます。そしてそのリスクに応じてリスク対応計画を立て、適切な管理、運用体制を構築し、情報セキュリティリスクを低減させることができます。
情報活用により業務効率が向上する
ISO27001に基づいてマネジメントシステムを構築することで、自社における情報活用が推進され、業務効率が向上します。これは必要な情報に素早くアクセスできる情報の可用性が高まるからです。この業務効率の向上が、企業の利益向上というメリットにつながります。
ISO27001認証取得の注意点とは
多くのメリットがあるISO27001ですが、認証取得においては以下のことに注意が必要です。
定期的な審査が必要となる
ISO27001は取得して終わりではなく、定期的な審査を受けてクリアすることで認証を継続できます。そのため、社内のマネジメント体制を定期的にチェックし、一度構築したシステムが形骸化しないような対策を継続しなければなりません。
認証取得時に作業量が増大する
ISO27001認証の取得には、ルールの設定やマニュアルの作成、社員への教育、情報資産の管理など、さまざまな作業が必要です。これらの作業を自社のみでやる場合、担当者への負荷は相当なものになります。
さらに認証の更新時にもマネジメント体制のチェックや文書の更新などの作業が必要となります。担当者へ過剰な負荷がかかるようでしたら、セキュリティの専門家へサポートを依頼するのも一つの方法です。
認証取得に費用がかかる
ISO27001認証を取得するには、審査機関へ費用を支払わなければなりません。審査に必要な費用の金額は、審査機関や審査を受ける企業の規模などにより異なりますが、数十万円から100万円以上まで幅があります。さらに定期的な審査にも費用が必要です。
そのため取得時だけでなく、更新にかかる費用まで予算計画を立てておかなければならないでしょう。
また自社のみで認証取得が困難な場合は、セキュリティコンサルタントへサポートを依頼することもあり、別途費用が必要となります。
ISO27001認証取得の手順
ISO27001認証するには、情報セキュリティシステムを社内で制定して運用、管理、記録を行い、最後に審査を経る必要があります。取得に必要な期間は半年から一年といったところでしょうか。ここではこの一連の流れについて解説します。
また、認証取得の流れをPDF資料でもご確認いただけます。ぜひご活用ください。
1.適用範囲の決定
最初にISO27001を適用させる社内の部署を決定します。会社全体か一部の部署の身なのか検討しましょう。適用範囲が広いほど、認証取得に必要な労力や時間が必要です。
2.プロジェクトチームを結成
ISO27001の取得を目指すプロジェクトチームを結成します。トップマネジメントを中心にリーダーとメンバーを決めます。
3.情報セキュリティポリシーの策定
会社の情報セキュリティポリシーを決定します。なぜ会社は情報セキュリティに取り組むのか、そしてどのように取り組むのか、などを考えて認証取得の方向性を定めます。
4.認証機関の選択
複数あるISO27001の認証機関から、自社が審査を申請する認証機関を選択します。費用等が異なるため、複数の認証機関から相見積もりを取ってコストの低い認証機関を選択するのも一つの方法です。
5.ISMS体制の構築
認証機関を決めたら、社内でISMS体制を構築します。ISMS管理責任者とISMS内部監査責任者の二人を決めます。ISMS管理責任者はISMSの構築・維持・報告を担当し、ISMS内部監査責任者は監査の実施や結果報告を担当します。
6.リスクアセスメント
自社にどのようなセキュリティリスクが存在しているのか確認するのがリスクアセスメントです。情報資産台帳を作成して、それぞれの情報資産におけるリスクを分析します。そして、それらのリスクに対してどのような対応を取るのか計画を立てます。
7.従業員教育
ISMS認証の取得範囲にいる従業員への教育を実施します。研修やeラーニングなどを用いて、従業員の情報セキュリティリテラシーを向上させます。
8.内部監査
情報セキュリティを強化すべき内容を確認し、その後、社内の担当者やコンサルタントにより内部監査を実施します。この内部監査で問題点をチェックして、さらなる対応が必要であれば改善策を加えます。この段階で審査を受けても認証されるように、しっかりとした体制を整えておきます。
9.マネジメントレビュー
ここまでの取り組みに関してトップマネジメントの判断を仰ぎます。経営者自身が現在の情報を見直して、改善が必要な部分を徹底的に洗い出し最終チェックします。改善点が見つかった場合は、認定審査を受ける前に改善しなければなりません。
10.認定審査
選択した認定機関に申請して認定審査を受けます。文書を審査する第一段階と、情報セキュリティの現状を審査する第2段階があります。どちらも問題なければ認証登録されます。
11.継続的なPDCAサイクル
1年ごとの定期審査、3年目には更新審査があるため、認証取得後も継続的なPDCAサイクルを回すことでマネジメントシステムを維持します。セキュリティの強化を続けて、改善点がある場合は適宜改善していきます。
まとめ
ISO27001の取得は個人情報や機密情報、パソコンやタブレットなど情報を取り扱う企業において様々なメリットをもたらします。取得には多くの費用と時間、そして取り組むべき活動があり、全てを自社のみで行うのは困難かもしれません。
LRM株式会社ではISO27001の取得までの一連の流れを23項目のチェックリストにして配布しています。確実にISO27001認証を取得するためにも、ぜひ無料ダウンロードしてみてください。