ISMS認証とは?取得方法や取得するメリット・デメリット、ISO27001との違いを解説
- 投稿日:2022 - 3 - 30
- 更新日:2022 - 11 - 21
情報セキュリティ対策を適切に行い、企業としての信頼性を向上させるためには、ISMS認証を取得するという方法があります。ISMS認証の取得を入札条件としている案件もあり、取得を目指している企業も多いのではないでしょうか。
本記事では、ISMS認証を取得するメリット・デメリットや、実際に取得するまでの流れを詳しく解説します。
ISMS認証(情報セキュリティマネジメントシステム)とは?
ISMS認証とは、情報セキュリティマネジメントシステムともいわれる、情報セキュリティを管理する仕組みのことを指します。第三者機関によって情報セキュリティに関する要件を満たしていると判断されると、ISMS認証を取得できます。
情報セキュリティに関する要件とは、具体的には「機密性」「完全性」「可用性」の3要素を指します。
- 機密性:許可されたユーザーのみが情報にアクセスできる状態
- 完全性:情報が正確な状態で保存され、改ざんや消去ができない状態
- 可用性:必要なときに許可されたユーザーがいつでも問題なく情報へアクセスできる状態
この3要素のどれかひとつでも満たされていないものがあると、情報セキュリティ上のリスクが生じます。ISMS認証を受けるには、機密性・完全性・可用性のすべてが確保されていなければなりません。
ISMSとISO27001やPマークとの違い
ISMS認証と混同されやすい言葉として、「ISO27001」と「Pマーク」があります。
ISO27001は情報セキュリティに関する国際規格でISMS認証を取得するためにクリアすべき基準を定めたもので、大まかな意味ではISMSと同じものであるといえます。
Pマークは「プライバシーマーク」ともいわれ、個人情報を適切に保護するための体制を整備している企業に付与されるマークです。ISOが国際規格であるのに対し、Pマークは日本国内の制度です。また、ISMS認証は保護対象がすべての情報資産ですが、Pマークの保護対象は個人情報に限られているという違いもあります。
ISMS認証を取得するメリット
ISMS認証を取得すると、企業にとって次のメリットがあります。
- 顧客や取引先に対して信頼性をアピールできる
- 入札の取引要件をクリアできる
- セキュリティへの意識が高まり、リスクを低減できる
それぞれのメリットについて、以下で詳しく解説します。
顧客や取引先に対して信頼性をアピールできる
ISMS認証を取得すると、情報セキュリティに関する要件を満たしている企業として信頼性をアピールできます。第三者からの客観的な評価を受けていることを証明できるため、顧客や取引先に安心感を持ってもらえるのがメリットです。
ただし、ISMS認証はあくまでも「国際基準をクリアしている」ことを保証するもので、セキュリティ対策の完全性などを評価するものではない点は把握しておいてください。
入札の取引要件をクリアできる
行政や自治体からの仕事を請け負うための入札条件に、ISMS認証を取得していることが含まれているケースも少なくありません。ISMS認証を取得していれば入札できる案件の幅が広がるため、企業として事業拡大や売上向上などを目指せるのもメリットのひとつです。
セキュリティへの意識が高まり、リスクを低減できる
ISMS認証を取得するためには、情報セキュリティの方針を決めたり従業員に対する教育を実施したりする必要があります。そのため、ISMS認証を取得する企業や組織のなかでセキュリティに対する意識が高まり、リスクを低減できるのもメリットです。
ISMSを取得するデメリット
ISMS認証の取得には一部デメリットもあるため、取得を目指す前にメリットだけでなくデメリットも把握しておきましょう。ISMS認証を取得するデメリットは、以下の2つです。
- 各種費用が発生する
- 業務の負荷が大きくなる
それぞれのデメリットについて、以下で詳しくみていきましょう。
各種費用が発生する
ISMS認証の取得には、審査機関に費用を支払わなければなりません。審査費用の金額は、認証機関や審査を受ける企業・組織の規模などによって異なりますが、数十万円から100万円を超えるケースもあります。また、ISMS認証は一度取得したら終わりではなく、維持するために毎年審査を受けなければならず、そのための審査費用も必要です。
そのほか、コンサルタント会社にサポートを依頼したり、セキュリティ要件を満たすために機器を導入したりする場合には、別途費用が発生します。
業務の負荷が大きくなる
ISMS認証取得のためには、体制の構築や文書の作成・管理、従業員への教育など、多くの作業が必要です。特にコンサルタント会社に依頼せず自社だけで取得を目指す場合、担当者の業務負荷が大きくなる点に注意しましょう。
取得後も毎年の審査の対応や文書の更新・管理といった作業が発生するため、ISMS認証の取得によって業務が増えることも考慮しておかなければなりません。
ISMS取得の流れ
ISMS認証取得までの流れは、以下の通りです。
- 取得範囲を決める
- 情報セキュリティの方針を決める
- 認証機関を選ぶ
- ISMSの体制を決める
- ISMS文書の作成
- リスクアセスメントの実施
- 従業員教育
- 内部監査
- マネジメントレビュー(経営層レビュー)
- 審査
それぞれのステップについて解説します。
取得範囲を決める
ISMS認証は企業全体で取得することはもちろん、一部の組織だけの取得も可能です。そのため、まずはISMS認証の取得範囲を決めましょう。従業員数や拠点数が多く対応が大変になる場合は、特定の部署や拠点だけを取得範囲とする方法もあります。
情報セキュリティの方針を決める
取得範囲を決めたら、情報セキュリティの方針を決めます。ISMS認証の要件を満たすよう方針を定め、文書を作成しましょう。情報セキュリティ方針は業種や取り扱う情報などに合わせて、具体的な取り組みや原則を定めます。
認証機関を選ぶ
自社の方針を定めたら、認証機関を選びましょう。2022年3月現在、日本には27の認証機関があります。審査費用は認証機関によって異なるため、各社に見積もりを依頼して認証機関を選んでください。
参考:ISMS認証機関一覧
ISMSの体制を決める
認証機関を選んだら、社内の体制を決めます。最初に定めた取得範囲に応じて、情報セキュリティ活動を統括する情報セキュリティ管理者や、内部監査を実施する内部監査員など、必要な役割を定めて担当者を決めましょう。
ISMS文書の作成
ISMS認証を取得するためには、基本方針だけでなく管理規程やマニュアルなどの文書を作成する必要があります。特にマニュアル類は従業員が理解しやすいよう、具体的な対応を記述するようにしましょう。
リスクアセスメントの実施
リスクアセスメントとは、組織内の情報セキュリティリスクを洗い出し、対応策を検討することです。社内の情報資産台帳を作成し、ISMS認証の要件を満たすよう具体的なリスク対応計画を策定します。
従業員教育
取得範囲に含まれる従業員への教育も実施しなければなりません。実際に情報を取り扱う従業員のリテラシー向上のため、研修やeラーニングなどで適切なセキュリティ教育を行います。
内部監査
認証機関の審査を受ける前に、管理規程に定められた運用ができているかどうかやマニュアルの手順が守られているかなどを確認する内部監査を実施します。内部監査で問題が見つかった場合は、直ちに改善を行いましょう。
マネジメントレビュー(経営層レビュー)
内部監査を実施したら、結果を経営層に報告するマネジメントレビュー(経営層レビュー)を行います。ISMS認証の要件を本当に満たせているかを改めてチェックし、さらに改善が必要な点がないかを確認します。
審査
マネジメントレビューを経て、認証機関による審査を受けます。審査は二段階に分けて行われ、文書審査をクリアしたら実際の運用の審査を受け、問題なければISMS認証を取得できます。
外部ツールを導入する際もISMSを取得したシステムが安心
ISMS認証は情報セキュリティに関する国際的な規格で、行政機関などの仕事を請け負うためには必須とされるケースが少なくありません。ISMSを取得するには情報セキュリティの方針を定めて実際に適切に運用されている必要があるため、ISMSを取得している企業は信頼性が高いといえます。
セキュアなテレワーク環境を提供するプラットフォーム「moconavi(モコナビ)」も、ISMS認証を取得しています。テレワーク時のセキュリティ対策として、ぜひ活用を検討してみてください。
